Cloudflare объявил смерть WordPress — и построил CMS без серверов, без PHP, без 25-летних уязвимостей

Команда Cloudflare решила не ограничиваться обновлением старых систем и представила EmDash — новую систему управления контентом, которую разработчики называют идейным наследником WordPress. Проект создают с расчетом на современную веб-инфраструктуру, где сайты все чаще работают не на постоянно выделенных серверах, а в бессерверной среде, а часть задач берет на себя автоматизация и ИИ-инструменты.

Появление EmDash объясняют просто: WordPress остается огромной и очень успешной платформой, на которой работает более 40% сайтов в интернете, но сам проект появился почти четверть века назад. За это время веб сильно изменился. Когда WordPress только запускался, не было ни современных облачных платформ, ни привычной сегодня модели, где сайт можно развернуть как набор файлов и функций в распределенной сети почти без затрат на инфраструктуру. EmDash как раз и пытается использовать эту новую реальность, а не опираться на архитектуру начала 2000-х.

Новая CMS написана на TypeScript и распространяется как проект с открытым исходным кодом под лицензией MIT. Разработчики отдельно подчеркивают, что код WordPress при создании EmDash не использовали, хотя по возможностям система должна быть совместима с привычными сценариями работы WordPress. За счет этого проект не связан ограничениями лицензии GPL и может развиваться по более свободной модели.

Главный акцент сделан на архитектуре расширений. В WordPress плагины остаются одной из самых болезненных тем для безопасности. По оценке авторов EmDash, около 96% проблем безопасности на сайтах WordPress связаны именно с плагинами, а в 2025 году в этой экосистеме нашли больше критически опасных уязвимостей, чем за предыдущие 2 года вместе. Причина, по их мнению, лежит в самой модели: плагин WordPress представляет собой PHP-скрипт, который встраивается прямо в систему, получает прямой доступ к базе данных и файловой системе и фактически работает с почти неограниченными правами.

EmDash предлагает другой подход. Каждый плагин запускается в собственной изолированной среде и получает не прямой доступ к внутренностям сайта, а только те возможности, которые сам заранее запросил в манифесте. Если расширению нужно читать контент и отправлять письма, система выдаст ему только эти права. Если нужен доступ к сети, можно разрешить обращения только к конкретному узлу. Такой подход ближе к модели разрешений в приложениях и сервисах, где администратор заранее видит, что именно получит сторонний компонент после установки.

Для разработчиков это меняет не только безопасность, но и правила распространения. Вокруг WordPress давно сложилась модель, где доверие к плагину часто завязано на централизованный магазин, ручную проверку и репутацию площадки. Очередь на модерацию в WordPress.org, как утверждают авторы EmDash, уже превышает 800 плагинов, а ожидание занимает не меньше 2 недель. В новой системе зависимость от такого посредника хотят уменьшить. Плагин можно лицензировать как угодно, а доверие к нему должно строиться не на том, в каком каталоге он опубликован, а на четко описанном наборе разрешений и на изоляции кода.

Отдельная идея EmDash касается денег. В систему встроили поддержку стандарта x402 для встроенных интернет-платежей. Он использует код ответа HTTP 402 Payment Required: клиент запрашивает ресурс, сервер сообщает, что доступ платный, после оплаты доступ открывается. Разработчики считают, что такой механизм пригодится издателям и авторам контента в среде, где сайты все чаще читают не только люди, но и программные агенты. В таком случае обычная рекламная модель работает хуже, а оплата за отдельный доступ к материалу может стать более практичным вариантом.

Сама архитектура EmDash изначально рассчитана на бессерверные платформы. Смысл в том, что система не требует постоянно работающего сервера под каждый сайт. При запросе среда выполнения быстро поднимает изолированное окружение, исполняет код и освобождает ресурсы, когда нагрузка исчезает. Пользователь платит только за фактическое процессорное время, а не за постоянно включенную машину. При этом разработчики уточняют, что EmDash можно запускать и на обычном сервере с Node.js, то есть проект не привязан жестко к одной платформе.

Фронтенд в EmDash строится на Astro. Темы здесь создаются как обычные современные интерфейсные проекты: со страницами, шаблонами, компонентами, стилями и описанием структуры данных. Для фронтенд-разработчиков такой подход привычнее, чем старая модель WordPress с PHP-шаблонами и functions.php. Важное ограничение тоже принципиальное: тема не может напрямую выполнять операции с базой данных. Авторы EmDash подают это как еще один способ сократить поверхность атаки.

Новая CMS рассчитана и на программное управление через ИИ-инструменты. Для проекта предусмотрены командная строка, встроенный сервер Model Context Protocol и набор описаний, которые помогают агентам понимать, какие действия доступны в конкретной установке EmDash. Предполагается, что такие инструменты упростят скучную и повторяющуюся работу: массовую замену полей, перенос структуры контента, переименование сущностей и прочие миграции, которые обычно требуют одноразовых скриптов или временных плагинов.

В системе по умолчанию используется аутентификация через passkey, то есть без обычных паролей. Такой выбор убирает типичные риски, связанные с утечкой паролей и их подбором. Доступом можно управлять через привычную ролевую модель: администраторы, редакторы, авторы и участники получают разные права в зависимости от задач. При необходимости EmDash можно подключить и к корпоративной системе единого входа.

Для переноса действующих сайтов разработчики предусмотрели импорт из WordPress. Контент можно выгрузить через WXR-файл или через специальный плагин-экспортер, который открывает защищенную конечную точку с доступом по паролю приложения WordPress. При миграции система переносит материалы и медиафайлы, а пользовательские типы контента можно преобразовать в собственные коллекции EmDash с отдельной схемой хранения. Это должно избавить администраторов от привычной для WordPress практики, когда все приходится втискивать в одну структуру записей с помощью тяжелых расширений вроде Advanced Custom Fields.

Пока EmDash доступен только в предварительной версии 0.1.0. Но сам замысел уже понятен: Cloudflare пытается собрать современную открытую CMS, которая берет от WordPress идею массовой и доступной публикации, но отказывается от его старых архитектурных компромиссов. Главный вопрос теперь не в том, сможет ли EmDash повторить путь WordPress, а в том, найдется ли у разработчиков и хостинг-платформ спрос на систему, которая изначально строится под другой интернет.