Cloudflareは2026年4月1日、WordPressの「精神的後継者」を標榜するオープンソースCMS「EmDash」をv0.1.0プレビューとして公開した。全体がTypeScriptで書かれており、MITライセンスのもとGitHubで公開されている。
WordPressは全ウェブサイトの40%以上を支える最大のCMSだが、誕生から23年が経過し、アーキテクチャの老朽化が課題となっている。とくにプラグインのセキュリティ問題は深刻で、WordPressサイトのセキュリティ問題の96%はプラグインに起因する。WordPressのプラグインはサイトのデータベースとファイルシステムに直接アクセスでき、隔離機構が存在しないためだ。
EmDashはこの問題をDynamic Workersによるサンドボックス隔離で解決する。各プラグインはマニフェストに事前宣言した権限のみで動作し、それ以外のアクセスは一切できない。この設計はOAuthのスコープ付きパーミッションに似た考え方に基づいており、プラグインが宣言する権限を事前に確認した上でインストールを判断できる。また、プラグインはEmDashのコードとは独立して動作するため、ライセンスの制約もなく、マーケットプレイスへの依存も解消される。
コンテンツ主導ウェブサイト向けフレームワーク「Astro」を基盤とし(Cloudflareは2026年1月にAstroの開発元を買収済み)、AIエージェントによるプログラム管理に対応したMCPサーバーとCLIを内蔵。コンテンツの種類を管理パネルで直接定義できるスキーマ機能も備える。
すべてのEmDashサイトには、AIエージェントからのコンテンツアクセスに対して課金できるインターネットネイティブ決済標準「x402」が組み込まれており、購読不要・エンジニアリング作業ゼロでコンテンツ収益化が可能だ。認証はデフォルトでパスキーを採用し、パスワードに起因する攻撃ベクターを排除している。
Cloudflareアカウントへのデプロイはワンクリックで可能。既存WordPressサイトのコンテンツはWXRファイルのエクスポートまたはEmDash Exporterプラグインで移行できる。
From: 
Introducing EmDash — the spiritual successor to WordPress that solves plugin security
【編集部解説】
「WordPressの後継者」は本物か——Cloudflareの戦略的野心を読み解く
2026年4月1日、エイプリルフール当日にリリースされたこのニュースを、最初は冗談と受け取った人も多かったはずです。開発者コミュニティのHacker Newsでも「エープリルフールでは?」という声が相次ぎました。しかしEmDashのメインエンジニアであるマット・ケインは「名前はジョークだが、プロジェクトは本物だ」と明言しています。
EmDashは「AIが2ヶ月で書いたCMS」という印象を与えますが、実態はもう少し複雑です。マット・ケイン自身がAstroコアチームに2年間在籍してきたエンジニアであり、1月中旬からフルタイムで開発に従事してきました。「勢いだけで作った週末プロジェクトではない」と本人も述べています。AIエージェントが大量の作業を担ったことは事実ですが、それを束ねたのは人間の専門知識と設計思想です。
また、見落としてはならない背景があります。Cloudflareは2026年1月16日にAstroの開発元であるThe Astro Technology Companyを買収しています。つまりEmDashは、Cloudflareが自社で獲得したフレームワーク「Astro」を基盤として構築されたCMSです。CloudflareはEmDashをオープンソースとしながらも、自社のエコシステムを垂直統合する形で強化しているとも言えます。
EmDashが解決しようとしているWordPressのプラグインセキュリティ問題は、確かに深刻です。ただし、重要な留意点があります。EmDashの核心的なセキュリティ機能——プラグインをDynamic Workerのサンドボックスで隔離する仕組み——は、現時点ではCloudflare Workers上でのみ完全に機能します。自社サーバーでセルフホストする場合、このセキュリティモデルは機能しません。Cloudflareの公式README自身が「Cloudflare上で最もよく動作するが、ロックインはしない」と記述しています。セキュリティが最大の売りであるにもかかわらず、その恩恵を完全に受けるにはCloudflareへの依存が前提となる——この点は冷静に見ておく必要があります。
WordPressからの移行ハードルについても現実的に見ておきましょう。EmDashの移行ツールはコンテンツのインポートは可能ですが、プラグインやテーマは移行できません。WordPress上の膨大なPHP製プラグインとテーマ資産を、TypeScript製のEmDash向けに作り直すのは相当な作業が伴います。Hacker Newsのデベロッパーコミュニティが懐疑的な反応を示したのも、この現実的な障壁ゆえです。「WordPressのネットワーク効果は強力すぎる」という声は、20年間繰り返されてきた真実でもあります。
一方、注目すべきはx402との統合です。x402は2025年9月にCloudflareとCoinbaseが共同で立ち上げたオープンな決済プロトコルで、2026年4月2日にはLinux FoundationのもとにStripe、AWS、Google、Microsoft、Visa、Mastercardなどが参加する「x402 Foundation」として正式に発足しました。30年間「将来の使用のために予約」とされてきたHTTPステータスコード402が、ついに実装レベルで動き始めたことは、ウェブの経済構造を変える可能性を秘めています。AIエージェントがウェブ上のコンテンツに対して人間の関与なしに自律的に対価を支払える仕組みは、広告モデルが崩壊しつつあるコンテンツ業界にとって、構造的な代替案となりえます。
長期的な視点で捉えると、EmDash単体の成否よりも、Cloudflareがここで何を目指しているかのほうが重要です。Astroの買収、Dynamic Workersによるサンドボックス化、x402による収益化、そしてMCPサーバーの内蔵——これらは断片的な機能追加ではなく、「AIエージェントが自律的にウェブを構築・運営・決済する」時代のインフラを、Cloudflareが丸ごと握ろうとする戦略的布石です。
プラグインエコシステムもコミュニティもまだ存在しないv0.1.0のプレビューが、23年分の蓄積を持つWordPressを短期間で置き換えることはないでしょう。しかし、AIが主体的にウェブサイトを構築・管理・改修していく時代において、「AIネイティブなCMS」という設計思想は、次のインターネットの地形を描く上で、見過ごせない一石となっています。
【用語解説】
V8アイソレート(V8 Isolate)
GoogleのChromeブラウザが使用するJavaScriptエンジン「V8」上で動作する、軽量な隔離実行環境のこと。コンテナ仮想化より大幅に起動が速く、メモリ消費も少ない。EmDashのプラグインはこのアイソレート内で動作するため、他のプロセスやデータに影響を与えることができない。
サーバーレス / スケール・トゥ・ゼロ(Serverless / Scale-to-Zero)
サーバーを常時稼働させず、リクエストが来た瞬間だけ処理を起動し、終われば即座に停止するアーキテクチャ。アイドル状態のコストが発生せず、トラフィック量に応じて自動でスケールする。「ゼロまでスケールダウンする」という特性から「スケール・トゥ・ゼロ」とも呼ばれる。
パスキー(Passkey)
パスワードの代わりに、デバイス内の生体認証(指紋・顔認証など)や暗号鍵を使って認証する仕組み。パスワードが存在しないため、フィッシングやブルートフォース攻撃の標的にならない。Apple・Google・Microsoftが共同で推進する業界標準規格(FIDO2/WebAuthn)に基づく。
MITライセンス / GPLライセンス
どちらもオープンソースソフトウェアのライセンスだが、制約の度合いが異なる。MITライセンスは商用利用・改変・再配布が自由で、条件がきわめて少ない。一方GPLライセンスは「派生物も必ず同じGPLで公開しなければならない」という制約を持ち、企業が商用プラグインを開発する際に法務上の障壁となりやすい。WordPressはGPLを採用しているため、プラグインもGPLを継承すべきという議論が存在する。
Dynamic Workers
Cloudflareが2026年3月に発表した機能で、AIが生成したコードなどをリアルタイムに安全な軽量アイソレート内で実行する仕組み。従来のコンテナ起動と比較して約100倍高速とされる。EmDashはこのDynamic Workersをプラグインの隔離実行基盤として活用している。
MCP(Model Context Protocol)
AIエージェントが外部ツールやサービスと標準的な方法でやりとりするためのオープンプロトコル。Anthropicが提唱し、業界標準として普及が進んでいる。EmDashはすべてのインスタンスにMCPサーバーを内蔵しており、AIエージェントが管理操作をプログラム的に実行できる。
HTTP 402
1995年にHTTPの仕様として策定されたステータスコードで、「Payment Required(支払いが必要)」を意味する。約30年間「将来の使用のために予約」とされ実装されてこなかったが、x402プロトコルによって初めて実用化された。
【参考リンク】
Cloudflare(外部)
インターネットの高速化・セキュリティ・信頼性を担う米国のクラウドインフラ企業。CDNやDDoS対策を世界規模で提供するEmDashの開発元。
EmDash(GitHubリポジトリ)(外部)
MITライセンスのオープンソースCMS「EmDash」のコードリポジトリ。v0.1.0プレビュー版として公開中。開発への参加も歓迎している。
EmDash Playground(外部)
インストール不要でEmDashの管理インターフェースを体験できる公式デモ環境。操作感をすぐに確認できる。
WordPress(外部)
2003年公開のオープンソースCMS。全ウェブサイトの約42.5%・全CMSの約59.8%で使用されるインターネット最大のパブリッシングプラットフォーム。
Astro(外部)
コンテンツ主導ウェブサイト向けJavaScriptフレームワーク。2026年1月にCloudflareが開発元を買収。EmDashの基盤技術として採用されている。
x402(外部)
Coinbase・Cloudflareが策定したインターネットネイティブ決済プロトコルの公式サイト。AIエージェントが自律的に支払えるHTTP標準オープン規格。
Coinbase(外部)
米国最大の暗号資産取引所。x402プロトコルの共同策定者で、Base L2ネットワークとUSDC決済レールを提供するx402 Foundation共同創設組織。
Linux Foundation(外部)
オープンソースプロジェクトの中立的なガバナンス組織。2026年4月にx402 Foundationのホストとして標準化推進の拠点となった。
【参考記事】
Cloudflare previews ‘EmDash’ – an AI-driven rebuild of WordPress in TypeScript(外部)
WordPress市場シェアの実数値とエンジニア本人の証言を収録。セルフホスト時の技術的制約も指摘した、本解説で最重要視した記事。
Cloudflare aims to dethrone WordPress with a new CMS – developers aren’t convinced(外部)
Cloudflare外ではDynamic Workersが機能しないという技術的制約と、開発者コミュニティの懐疑的な反応を詳報したセキュリティ系メディアの記事。
EmDash Feedback(Matt Mullenweg)(外部)
WordPress共同創設者によるEmDash評。「Cloudflareのサービスを売るための製品」と指摘しつつ、オープンソースである点は高く評価している。
Right Architecture, Empty Ecosystem: Verdicts on EmDash, Cloudflare’s WordPress Challenger(外部)
CMS専門メディアによる包括的な分析記事。マレンウェグ氏の公式コメントと業界各方面の評価を公平にまとめている。
Coinbase & Linux Foundation Debut X402: HTTP-Native Crypto Payment Standard(外部)
x402 Foundation正式発足(2026年4月2日)を報じた記事。Stripe、AWS、Google、Microsoft等の参加企業と今後の課題を詳述している。
Astro is joining Cloudflare(外部)
2026年1月のAstro買収を伝えるCloudflare公式ブログ。EmDashとAstroの関係性を理解するための重要な一次情報源。
【編集部後記】
EmDashの取材を通じて感じたのは、これはCMSの刷新という以上に、Cloudflareが「AIエージェント時代のウェブインフラ」を描いた一枚の設計図だということです。Astroの買収、x402の共同策定、Dynamic Workersの発表——それぞれを単体で見ればプロダクトのアップデートですが、EmDashというCMSとして束ねることで、「AIがウェブを自律的に構築・管理・決済する」未来図が一気に解像度を増しました。
私たちメディアにとっても、コンテンツが誰に(何に)読まれ、誰が対価を払うのかを根本から問い直す時期に来ているのかもしれません。変化の速さに圧倒されそうになりながらも、innovaTopiaはこれからも皆さんと一緒に、ウェブの新しい地形を歩んでいきます。
