Cloudflare heeft EmDash gepresenteerd, een nieuwe open-source CMS die door het bedrijf wordt omschreven als de “geestelijk opvolger” van WordPress. Dit initiatief is niet gering: het bestaat uit het vanaf nul herontwerpen van grote delen van de logica achter een traditioneel inhoudsbeheersysteem, met als doel het aan te passen aan een internet dat gedomineerd wordt door serverless deployments, ontwikkeling in TypeScript, native betaalmogelijkheden via HTTP, en automatisering met AI-agenten. Het is al beschikbaar als een preview (v0.1.0) en wordt vrijgegeven onder de MIT-licentie, met de belofte dat er geen code van WordPress wordt hergebruikt.
Deze stap benadrukt een duidelijke boodschap. Cloudflare erkent de historische waarde van WordPress, maar wijst erop dat de architectuur ervan bepaalde beperkingen met zich meebrengt die moeilijk zijn op te lossen, vooral op het gebied van plugin-beveiliging, moderne deployments en ontwikkelaarservaring — een ervaring die nu meer aansluit bij Astro, Node.js of TypeScript dan bij PHP. EmDash probeert dat gat te vullen: de ambitie van een open en toegankelijke CMS te behouden, maar met een geheel andere technische basis.
Dit is niet onbelangrijk voor de markt. WordPress blijft met grote afstand de meest gebruikte CMS ter wereld: volgens W3Techs draait het op 42,5% van alle websites en vertegenwoordigt het 59,8% van de sites met een identificeerbaar CMS. Elke serieuze poging tot het bouwen van een moderne alternatief zal dus uit een ecosysteem komen dat nog altijd dominant is in de wereldwijde online publicatie.
De beveiliging van plugins staat centraal
De kern van de aankondiging ligt op veiligheid. Cloudflare stipt aan dat het traditionele plugin-model van WordPress structureel zwak is omdat plugins met zeer ruime toegang tot het systeem, de database en het bestandssysteem worden uitgevoerd. Deze kritiek is niet ongegrond: volgens het “State of WordPress Security 2025”-rapport van Patchstack werden in 2024 7.966 nieuwe beveiligingslekken ontdekt in het WordPress-ecosysteem, waarbij 96% van die kwetsbaarheden in plugins zaten, terwijl slechts een klein deel het WordPress-kern betroffen.
Op basis hiervan stelt EmDash een andere aanpak voor. In plaats van extensies binnen dezelfde context als het CMS uit te voeren, draaien plugins in geïsoleerde omgevingen via Dynamic Workers, met expliciet gedeclareerde permissies in hun manifest. Het idee is dat een plugin enkel toegang krijgt tot de functies die de beheerder goedkeurt, in een model dat meer lijkt op beperkte rechten dan op blind vertrouwen. Cloudflare ziet dit als een manier om het risico te verkleinen dat een kwaadaardige plugin het gehele site compromised. Het is een interessante aanpak, al blijft afwachten hoe het reageert wanneer het project uit de testfase komt en geconfronteerd wordt met grote ecosystemen, complexe plugins en minder technische beheerders.
Er speelt ook een politieke en economische dimensie mee. Cloudflare stelt dat betere plugin-beveiliging de afhankelijkheid van gecentraliseerde marktplaatsen kan verminderen en ontwikkelaars meer vrijheid kan geven in het kiezen van licenties en distributiekanalen. EmDash wordt momenteel onder de MIT-licentie uitgebracht, waarmee ontwikkelaars hun eigen licentie kunnen kiezen. Dit is niet onbelangrijk: WordPress wordt nog altijd gekenmerkt door de voortdurende discussie over GPL, compatibiliteit en afhankelijkheid van het officiële ecosysteem.
Een modern CMS én een strategisch evangelie van Cloudflare
EmDash is geschreven in TypeScript, gebruikt Astro als basis voor thema’s en front-end, en wordt gepresenteerd als serverless by design. Cloudflare benadrukt dat het ook op elke Node.js-server of zelfs eigen hardware kan draaien. In de praktijk sluit de architectuur echter vrijwel naadloos aan bij de visie van Cloudflare: gebruik maken van Workers, isolates, workerd, Cloudflare for Platforms en een schaal “tot nul”, wat het bedrijf al langer als groot voordeel ziet ten opzichte van traditioneel hosting.
Dit maakt EmDash meer dan alleen een nieuw CMS. Het is tevens een technologische demonstratie van waar Cloudflare de webontwikkeling naartoe wil sturen: gedistribueerde applicaties, geïsoleerde uitvoering, wereldwijde deployment, lage kosten voor inactieve infrastructuur en een uitbreidbare laag die AI en automatisering integreert. EmDash kan wel buiten Cloudflare draaien, maar alles in het ontwerp is duidelijk afgestemd op het operationele model van het bedrijf.
Een opvallend element is de ingebouwde ondersteuning voor x402, de open standaard voor betalingen via HTTP ontwikkeld door de x402 Foundation, opgericht door Cloudflare en Coinbase in 2025. EmDash ondersteunt het betalen voor content zonder traditionele abonnementen, gebruikmakend van de HTTP-status HTTP 402 Payment Required. Het idee is dat automatische agents en machine-to-machine-klanten hiermee op aanvraag kunnen betalen voor specifieke resources. Kort gezegd, een van de meest innovatieve en veelbelovende ideeën van dit Lancering, al is de daadwerkelijke adoptie nog onzeker op korte termijn.
Inheemse AI, passkeys en migratie van WordPress
Cloudflare beperkt zich niet tot veiligheid. EmDash positioneert zich ook als een “native voor AI”-CMS, met een eigen CLI, geïntegreerde MCP-server en tools waarmee agents automatiseren voor beheer, migratie en personalisatie. The bedrijf stelt dat het CMS specifieke “skills” bevat om bijvoorbeeld WordPress-thema’s te porten of nieuwe extensies te maken. Deze visie sluit aan bij de huidige trend om platforms te laten communiceren met AI-assistenten en -agents, maar het blijft afwachten of dat daadwerkelijk leidt tot meer productiviteit of juist operationele complexiteit.
Wat betreft toegangsbeveiliging: EmDash gebruikt standaard passkeys en elimineert traditionele wachtwoorden, terwijl het ook SSO-integratie mogelijk maakt. Voor migratie biedt het ondersteuning voor het importeren van content uit WordPress via WXR-bestanden of een speciale export-plugin. Cloudflare beweert dat hierbij ook multimedia en aangepaste inhoud kunnen worden meegenomen naar de native collecties van EmDash. Dit is belangrijk, omdat een moeizame migratie meestal een grote barrière vormt om WordPress snel te verlaten.
Het is wel belangrijk te benadrukken dat EmDash zich momenteel in een vroege preview bevindt, en nog niet klaar is voor grootschalige, stabiele productie-implementaties. De ambitie is groter dan de onmiddellijke praktische toepassing: het laat zien hoe een open CMS eruit zou kunnen zien, ontworpen met de hedendaagse prioriteiten, los van de beperkingen van 2003. Deze ambitie kan aantrekkelijk zijn voor ontwikkelaars, hostingplatforms en projecten die een alternatief zoeken voor PHP en de traditionele WordPress-architectuur. Maar het blijft voorlopig een veelbelovend idee dat zich nog moet bewijzen in de praktijk.
Veelgestelde vragen
Wat is EmDash en wie heeft het ontwikkeld?
EmDash is een nieuw open-source CMS dat door Cloudflare is aangekondigd als een “geestelijk opvolger” van WordPress. Het is geschreven in TypeScript, gebruikt Astro als basis en bevindt zich momenteel in preview (v0.1.0).
Hoe verschilt EmDash van WordPress?
De belangrijkste verschillen liggen in de architectuur: geïsoleerde plugins in sandboxes, een serverless benadering, thema’s gebaseerd op Astro, authenticatie via passkeys, en gereedschappen voor AI-agenten, CLI en MCP.
Waarom legt Cloudflare zoveel nadruk op plugin-beveiliging?
Omdat het project gebaseerd is op een bestaand probleem binnen het WordPress-ecosysteem: in 2024 werden volgens Patchstack 7.966 nieuwe kwetsbaarheden ontdekt, waarvan 96% in plugins zaten. EmDash probeert dit aan te pakken door plugins geïsoleerd uit te voeren en toegangscontrole te gebruiken.
Kan EmDash nu al WordPress vervangen in productiesystemen?
Het lijkt nu nog te vroeg om dat te zeggen. Cloudflare biedt het als een vroege preview voor experimenten, migraties en ontwikkeling, maar moet nog bewijzen dat het rijp en stabiel genoeg is om te concurreren met WordPress op grote schaal.
via: emDash en GitHub