完全复刻 WordPress，Cloudflare 推出 EmDash 从根源解决插件安全痛点

Cloudflare 之前仅用一周时间，就通过 AI 编程使用 Vue 重构了 Next.js，现在 CloudFlare 又整活了，使用 TypeScript + Astro 复刻了 WordPress。

CloudFlare 将这款项目命名为 EmDash，将其定位为 WordPress 的精神继承者，这并不是对 WordPress 简单的复刻，而是用现代化技术栈，重新实现一套面向未来的 CMS，并且重点解决了 WordPress 24 年发展中积累的的架构臃肿、安全隐患与性能瓶颈问题。

作为全球超过 40% 网站都在使用的内容管理系统和拥有庞大的开发者与站长生态的 WordPress，在 CloudFlare 看来有什么问题呢？

CloudFlare 认为随着互联网技术迭代，网站托管、部署、运维方式发生了翻天覆地的变化。WordPress 诞生之初，AWS EC2 尚未面世，从早期的 VPS 到如今分布式边缘网络、无服务器架构的普及，传统 PHP 架构的 WordPress 逐渐显现出与现代 Web 生态的脱节，而 EmDash 的出现，正是为了填补这一差距：

• 完全使用 TypeScript 编写
• 无服务器架构，同时可运行在自有硬件或任意平台
• 插件通过 Dynamic Workers 安全沙箱隔离运行，从根本上解决 WordPress 插件架构的安全难题
• 底层由 Astro（目前速度最快的内容驱动型网站 Web 框架）驱动

开始之前大家先体验：EmDash Playground。

从上图可以看出，和 WordPress 后台的经典编辑器页面还是很类似的。

彻底解决 WordPress 插件安全危机

WordPress 生态最大的顽疾，就是插件架构的根本性安全缺陷。相关数据显示，96% 的 WordPress 安全漏洞源自插件，2025 年其生态曝出的高危漏洞数量，甚至超过前两年总和。

以至于 WordPress.org 会对市场上的每个插件进行人工审核和批准，目前审核队列中已有超过 800 个插件，至少需要两周时间才能完成审核。

为何历经二十余年，WordPress 插件安全问题依旧严峻？

原因在于，WordPress 插件是直接挂载到系统的 PHP 脚本，没有任何隔离机制，插件可以直接访问网站数据库与文件系统。安装插件时，相当于把站点几乎所有权限都托付给它，同时要求它完美处理所有恶意输入与边界情况。

而 EmDash 通过 “预先静态声明插件需求” 的架构，从根本上解决了这一问题：

1. 所有插件运行在独立的 Dynamic Workers 安全沙箱中，与系统核心完全隔离
2. 插件需提前在清单中显式声明所需权限，系统仅开放声明的能力，未声明的操作一律无法执行
3. 权限模式类似 OAuth 授权，用户安装前可清晰查看插件权限范围，可自主选择是否授权
4. 插件默认无外网访问权限，如需联网需单独指定目标主机，进一步缩小风险范围

EmDash：适配 AI 时代的 CMS

内置 x402 支付标准，打造原生盈利模式

针对 AI 时代内容创作者的盈利需求，EmDash 原生集成 x402 开放支付标准。

x402是一个开放、中立的互联网原生支付标准，可以让站点实现按需付费访问：当 AI 智能体或用户请求内容时，服务器返回 402 Payment Required 状态码，完成支付后即可访问内容。无需额外开发、无需订阅插件，站长只需配置收费内容、价格与钱包地址，即可搭建 AI 时代的内容盈利模式。

零成本扩缩容，颠覆 WordPress 托管

不同于 WordPress 传统服务器架构，需要提前购置服务器、预留资源应对流量峰值，性能与成本难以兼顾，尤其是服务端渲染、无法缓存的内容。EmDash 专为无服务器场景设计，基于 Cloudflare workerd 运行时的 V8 隔离架构，实现请求触发运行、无请求缩容至零，仅按实际 CPU 耗时计费。

EmDash 可以在任何 Node.js 服务器上运行，而在 Cloudflare 平台上，还能通过 Cloudflare for Platforms 运行数百万个 EmDash 实例，享受全球边缘网络加速。个人小流量站点几乎零成本运行，大流量站点也无需担心服务器性能与闲置成本，彻底颠覆 WordPress 传统托管模式。

基于 Astro 的现代化前端主题架构

EmDash 主题基于 Astro 构建，开发者只需创建包含 Pages（路由）、Layouts（布局）、Components（组件）、Styles（样式）、Seed（数据定义）的 Astro 项目，即可完成主题开发，对前端开发者与 AI 大模型都极度友好。

反观 WordPress 主题，与插件存在同样安全风险，通过 functions.php 运行全权限代码，强大但极度危险，而 EmDash 主题永远无法执行数据库操作，安全边界清晰。

AI 原生 CMS：MCP、CLI、Agent Skill

EmDash 从设计之初就适配 AI Agent 程序化管理，内置完整自动化工具链：

• Agent Skill：内置能力说明、开发规范、WordPress 迁移指南，支持 AI 快速对接
• EmDash CLI：支持本地与远程交互，可完成媒体上传、内容搜索、站点结构管理
• MCP 服务：内置模型上下文协议服务，实现管理后台全能力开放，AI 可完成内容迁移、格式转换、批量修改等重复枯燥工作

默认可 passkey 认证，无密码更安全

EmDash 默认采用 Passkey 密钥认证，彻底杜绝密码泄露、暴力破解风险，同时内置基于角色的权限控制：管理员、编辑、作者、投稿者等角色，权限遵循最小化原则；认证系统支持插拔式扩展，可对接 SSO 提供商，基于身份元数据自动分配权限，安全与便捷性双重提升。

一键从 WordPress 迁移至 EmDash

针对现有 WordPress 用户，EmDash 提供两种方式导入：一是登录 WordPress 后台导出 WXR 文件；二是安装 EmDash Exporter 插件，该插件生成安全端点，通过应用密码保护实现数据迁移。整个迁移过程只需几分钟，并且会自动将所有附加的媒体文件导入 EmDash 媒体库。

此外 EmDash 连 WordPress 自定义内容类型也复刻，直接在后台就可以创建，导入时，也可以将 WordPress 中的任何自定义文章类型转换为 EmDash 内容类型。 对于古腾堡个性化区块，提供了 EmDash Block Kit Agent Skill，让 AI 直接生成适配格式。

对 WordPress 站长与开发者的意义

总体来看，EmDash 目前还处于 v0.1.0 早期预览阶段，生态、插件、主题等配套体系尚不完善，短期内还无法真正替代 WordPress。但它的价值在于，清晰展示了下一代 CMS 的发展方向：更安全的插件沙箱机制、无服务器边缘部署、AI 原生能力、权限最小化设计以及轻量化架构，这些恰好都是 WordPress 长期存在、又难以从根本上解决的痛点。

EmDash 并不是要推翻 WordPress，而是在继承其普惠易用理念的基础上，用现代化技术栈重新实现了一套更适配当下互联网环境的内容管理系统。对于 WordPress 站长和开发者而言，它更像是一个重要的行业信号与技术参考，值得关注、体验和借鉴，也为未来 CMS 的演进提供了一条清晰可行的路径。

立即体验 EmDash

EmDash 已发布 v0.1.0 预览版，源代码码已经托管在 GitHub：https://github.com/emdash-cms/emdash。

• 在线试用管理后台：https://emdashcms.com/
• 本地创建站点：npm create emdash@latest
• 也在可以 Cloudflare 后台一键部署