「WordPress、24年も脆弱なままのワケ」 後継を目指すサーバレスCMS「EmDash」OSSで公開:TypeScript・Astro製
CloudflareはサーバレスのオープンソースCMS「EmDash」を公開した。時代はVPSによるホスティングから、JavaScriptバンドルをグローバル分散ネットワークに低コストで配信できる時代に大きく変化した。EmDashはこの変化に対応すべく設計されたという。
Cloudflareは2026年4月1日(米国時間)、オープンソースCMS(コンテンツマネジメントシステム)「WordPress」の後継を目指すサーバレスCMS「EmDash」をオープンソースソフトウェア(OSS)として公開した。
ホスティングから配信へ
WordPressはWebサイトの40%以上で使用されているが、プロジェクトの開始から24年が経過し、時代は仮想プライベートサーバ(VPS)によるホスティングから、JavaScriptバンドル(Webアプリをパッケージ化したもの)をグローバル分散ネットワークに低コストで配信できる時代に大きく変化した。EmDashはこの変化に対応すべく設計されたCMSだ。
EmDashは全てTypeScriptで書かれており、サーバレスで動作し、自前のハードウェアや任意のプラットフォームでも実行できる。Webフレームワーク「Astro」を基盤としており、MITライセンスで公開されている。WordPressのコードは一切使用されていない。
EmDashの特徴
WordPressのプラグインセキュリティを根本解決
WordPressのセキュリティ問題の96%はプラグインに起因するとされる。さらに2025年には、WordPressエコシステムで発見された高い深刻度の脆弱(ぜいじゃく)性が過去2年分の合計を上回った。なぜ20年以上たってもこの状況は変わらないのか。
その理由は、WordPressの隔離性が低いアーキテクチャにある。WordPressのプラグインはPHPスクリプトとしてWordPress本体に直接フックし、サイトのデータベースとファイルシステムに対する自由なアクセス権を持つ。プラグインをインストールすることは、サイトのほぼ全てにアクセスできる権限を与えることになり、そのプラグインが悪意ある入力や予期しない状況にも問題なく対応することを信頼するしかない。
EmDashではプラグインがそれぞれ独立したサンドボックスで実行される。Cloudflareのサンドボックス環境「Dynamic Workers」を利用し、プラグインはマニフェストで明示的に宣言した機能のみが付与される。外部ネットワークアクセスはデフォルト(規定)で禁止されており、必要な場合は通信先のホスト名を明示的に指定する必要がある。
この仕組みにより、インストール前にプラグインが要求する権限を正確に把握でき、管理者はプラグインが要求するパーミッションに基づいてインストールポリシーを設定できる。
マーケットプレースのロックイン解消
WordPressのプラグインセキュリティリスクの深刻さから、WordPress.orgはプラグインを手動でレビューしており、レビュー待ちは800件以上、通過に2週間以上かかる。セキュリティリスクの広さから、利用者はマーケットプレースの評判に依存せざるを得ない。
EmDashのプラグインは2つの特性でこのロックインを解消するとしている。
- プラグインのライセンスは作者が自由に選択できる
EmDash本体とコードを共有しないため、GPL制約を受けない - プラグインコードはセキュアなサンドボックスで独立して実行される
サイト側がコードを詳細に確認しなくても信頼できる
x402によるコンテンツ課金の組み込み
AIエージェントが人間の代わりにWebにアクセスする時代を迎え、広告を見る人間がいないWebサイトでは従来の広告ベースの収益モデルが機能しなくなる。EmDashはこの課題に対し、インターネットネイティブ決済の標準「x402」のサポートを標準搭載している。サブスクリプション不要で、コンテンツごとの従量課金が可能だ。
エージェントを含むクライアントがHTTPリクエストを送り、HTTP 402ステータスコード(支払いが必要であることの通知を受け取ると、オンデマンドで支払う仕組みになっている。設定に必要なのは、課金対象コンテンツの指定、金額の設定、ウォレットアドレスの提供のみで、エンジニアリング作業は不要だという。
オンデマンドでスケール可能
WordPressはサーバレスではないため、サーバのプロビジョニングとスケーリングが必要だ。EmDashは「Cloudflare Workers」ランタイム上で動作し、リクエストに応じて実行環境を即座に起動し、リクエストがなければゼロにスケールダウンする。CPU時間のみが課金対象となる。
AI対応CMS
EmDashはAIエージェントによるプログラム的な管理を前提に設計されている。「Agent Skills」でプラグインの作成方法やWordPressテーマの移行手順をエージェントに提供し、CLI(コマンドラインインタフェース)やMCP(Model Context Protocol)サーバでローカルまたはリモートのインスタンスをプログラム的に操作できる。
認証はパスキーベースがデフォルトで、ロールベースのアクセス制御を備え、SSO(シングルサインオン)プロバイダーとの連携も可能だ。既存のWordPressサイトからのインポート機能も提供されている。
WordPressサイトからの移行
WXR(WordPress標準エクスポート形式)ファイルのエクスポートか、公式の「EmDash Exporterプラグイン」を使用することで、既存のWordPressサイトからコンテンツを数分でインポートできる。カスタム投稿タイプについては、EmDashの管理画面でスキーマを直接定義し、独立したコレクションとして取り込める。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
GitHubを“VS Codeの人気拡張機能”が侵害 約3800件の内部リポジトリ流出
GitHubは不正なVS Codeの拡張機能を従業員がインストールしたことで、GitHub社内のリポジトリデータ約3800件が流出したと発表した。相次ぐ開発環境狙いのソフトウェアサプライチェーン攻撃への打ち手を考える。
いつも使う「ブラウザ拡張機能」や「OSS」が牙をむく 明日からできる対策は?
Webブラウザの拡張機能や、開発者が利用するOSSがマルウェア化し、数百万人規模の被害につながる事例が相次いでいます。こうしたサイバー攻撃の実態と手口、そして企業や個人が採るべき対策を考えます。
あなたのブラウザは大丈夫? Chrome拡張機能が「いつの間にか」マルウェアに変わる手口と5つの対策
パスワード管理や翻訳ツールなどの便利な「Chrome拡張機能」を愛用している人も多いのではないでしょうか。しかし、ある日突然、拡張機能がマルウェア化してしまう、という事件が起きています。なぜこのような事態が起きるのか、そして私たちはどう身を守ればよいのか。その仕組みと対策について解説します。
PHP開発者の58%が「別の言語に移行しない」と回答、する場合の代替言語は?
JetBrainsは、PHP開発者エコシステムの現状調査レポート「The State of PHP 2025」を発表した。PHP開発者の7割が4年以上の使用経験を持つが、2025年は新規ユーザーの割合がわずかに上昇した。
Wasmer社、無料で試せる、WebAssemblyを活用したWordPressホスティングサービスを提供開始 何が魅力なのか?
Wasmer社は、WebAssemblyランタイムを活用したWordPressホスティングサービスの提供を開始した。Wasmerを使ってローカルでWordPressを実行する手順も公開している。