Cloudflare hat Anfang April 2026 ein Content-Management-System namens EmDash vorgestellt, das als geistiger Nachfolger von WordPress gelten soll. Das quelloffene Projekt ist vollständig in TypeScript geschrieben, läuft serverlos und nutzt das Web-Framework Astro als technische Grundlage. Seinen Entwicklern zufolge soll EmDash das lösen, woran WordPress seit über zwei Jahrzehnten krankt: die strukturell unsichere Plug-in-Architektur.

Plug-ins als Einfallstor

Das Plug-in-Problem bei WordPress ist tatsächlich gravierend. Nach Angaben der EmDash-Macher gehen 96 Prozent aller Sicherheitsvorfälle bei WordPress-Seiten auf das Konto von Erweiterungen – und 2025 seien mehr schwerwiegende Schwachstellen im WordPress-Ökosystem entdeckt worden als in den beiden Jahren davor zusammen. Der Grund ist strukturell: Ein WordPress-Plug-in hat direkten Zugriff auf Datenbank und Dateisystem der gesamten Seite, ohne jede Abschirmung.

EmDash setzt dem ein Sandbox-Modell entgegen, bei dem jede Erweiterung in einem isolierten "Dynamic Worker" läuft und nur die Berechtigungen erhält, die es vorab in einer Manifest-Datei deklariert, ähnlich wie bei einem OAuth-Flow. Wer ein Plug-in installiert, weiß also vorab genau, welche Rechte er einräumt.

Dieses Sicherheitsmodell hat nach Darstellung der Entwickler auch wirtschaftliche Konsequenzen. Bei WordPress zwingt das hohe Sicherheitsrisiko die Entwickler von Erweiterungen faktisch in eine Abhängigkeit vom offiziellen Marketplace, dessen Prüfqueue derzeit über 800 Plug-ins umfassen und mindestens zwei Wochen Wartezeit bedeuten soll.

Da EmDash die Zusatzmodule isoliert ausführt und diese keinen WordPress-Code teilen, können sie unter beliebigen Lizenzen vertrieben werden – und Plattformbetreiber können ihnen auch außerhalb eines zentralen Marktplatzes vertrauen. EmDash ist selbst unter der permissiven MIT-Lizenz veröffentlicht.

Monetarisierung und KI-Integration

Neben dem Sicherheitsaspekt adressiert das neue CMS zwei weitere Themen: Monetarisierung und KI-Integration. EmDash hat den offenen Zahlungsstandard x402 direkt eingebaut, über den Seitenbetreiber Inhalte auf Pay-per-use-Basis zugänglich machen können – gedacht vor allem für den Zugriff durch KI-Agenten, die künftig als Clients im Web agieren.

Außerdem liefert jede EmDash-Instanz einen eigenen MCP-Server sowie ein CLI mit, über das KI-Agenten das System programmatisch steuern können. Authentifizierung erfolgt standardmäßig über Passkeys, klassische Passwörter entfallen damit.

EmDash befindet sich aktuell in einer frühen Entwicklervorschau (v0.1.0) und kann entweder über das Cloudflare-Dashboard oder lokal per CLI gestartet werden. Eine Migrationsfunktion erlaubt den Import bestehender WordPress-Seiten über das WXR-Exportformat oder eine eigene Exporter-Erweiterung.

Ob das Projekt die Dominanz von WordPress, das nach eigenen Angaben mehr als 40 Prozent aller Websites im Netz antreibt, ernsthaft herausfordern kann, bleibt offen. Für Entwickler, die ein modernes, sicherheitsorientiertes CMS suchen, dürfte EmDash jedoch ein ernstzunehmender Kandidat sein.