Cloudflare ne le fait pas présent non pas EmDash comme un simple nouveau CMS, mais comme un successeur spirituel de WordPress conçu pour corriger ses limites structurelles. Le projet cible trois fronts à la fois : la sécurité des extensions (plugins), l’adaptation à une architecture sans serveur et la création d’un outil utilisable nativement par les agents IA.
EmDash arrive avec un positionnement très direct. Cloudflare souligne que WordPress anime plus de 40 % du Web, mais juge que son architecture, née il y a près de 24 ans, ne correspond plus à l’état actuel de l’hébergement et du développement web. Le nouveau CMS est entièrement écrit en TypeScript, fonctionne sans serveur, peut également fonctionner sur son propre matériel ou sur n’importe quelle plate-forme et s’appuie sur Astro pour la couche Web.
Cloudflare insiste aussi sur la rupture juridique et technique avec WordPress. EmDash est open source, distribué sous licence MIT, disponible sur GitHub et compatible dans son objectif avec les usages de WordPress, tout en ayant été développé sans utiliser de code WordPress.
Sécurité des extensions avec EmDash
Cloudflare fonde d’abord son offensive sur un constat simple : l’architecture historique des plugins WordPress reste le principal point faible du CMS. La société affirme que 96 % des problèmes de sécurité des sites basés sur WordPress proviennent de plugins et qu’en 2025, l’écosystème WordPress a enregistré plus de failles de sécurité critiques qu’au cours des deux années précédentes combinées.
EmDash résout ce problème avec un isolement systématique. Chaque extension s’exécute dans son propre environnement isolé via un Dynamic Worker, avec des autorisations déclarées à l’avance dans un manifeste, au lieu d’obtenir un accès direct à la base de données et au système de fichiers du site. Cloudflare explique qu’un plugin sur EmDash ne peut effectuer que des actions explicitement déclarées, y compris pour l’accès au réseau qui peut être limité à un nom d’hôte spécifique.
Cette architecture répond également à un objectif économique. Cloudflare estime que le faible modèle de sécurité de WordPress a accru la dépendance à l’égard des marchés centralisés, où la réputation et la validation manuelle remplacent un véritable environnement isolé. EmDash veut briser cette logique en autorisant n’importe quelle licence pour les plugins et en permettant à un site de faire confiance à un plugin sans exposer l’intégralité de son environnement d’exécution.
Un CMS conçu pour l’après-WordPress
Cloudflare souhaite également repositionner le CMS autour des usages émergents du Web. EmDash intègre nativement x402, un standard de paiement sur Internet qui permet de facturer l’accès à des contenus à la demande, sans abonnement. L’entreprise présente cette fonction comme une réponse à un Web où des agents accèdent au contenu à la place des humains et affaiblit les modèles économiques traditionnels des éditeurs.
La promesse technique suit la même logique. EmDash est conçu pour les plates-formes sans serveur et le système open source Workerd de Cloudflare, avec une mise à l’échelle instantanée et un retour à zéro en l’absence de requêtes. Cloudflare ajoute qu’EmDash peut s’exécuter sur n’importe quel serveur Node.js, mais met en avant son propre environnement pour exécuter potentiellement des millions d’instances qui augmentent et diminuent automatiquement sous charge.
Le projet vise enfin l’automatisation grâce à l’intelligence artificielle jusque dans l’administration du CMS. Chaque instance peut fournir des compétences d’agent, une ligne de commande et un serveur MCP intégré pour permettre aux agents de gérer le contenu, les schémas, les médias ou la personnalisation du site. EmDash ajoute par défaut l’authentification par mots de passe (clés d’accès), la gestion des rôles et les options d’intégration avec un fournisseur SSO pour la connexion.
Cloudflare cherche également à réduire le coût de sortie des sites existants. Importer depuis WordPress soit via un fichier WXR exporté depuis l’administration du site WordPress, soit via un plugin Exportation EmDash qui crée un point d’accès sécurisé et protégé par mot de passe.
La préversion 0.1.0 d’EmDash est déjà disponible en version bêta, avec une interface de démonstration et un déploiement possible via une ligne de commande ou un compte Cloudflare. Et pour tester la démo, vous pouvez aller sur Aire de jeux EmDash.
