Cloudflare ne présente pas EmDash comme un simple nouveau CMS, mais comme un successeur spirituel de WordPress conçu pour corriger ses limites structurelles. Le projet vise trois fronts à la fois : la sécurité des extensions (plugins), l’adaptation à une architecture serverless et la création d’un outil nativement exploitable par des agents IA.
EmDash arrive avec un positionnement très direct. Cloudflare rappelle que WordPress alimente plus de 40 % du Web, mais juge que son architecture, née il y a près de 24 ans, ne correspond plus à l’état actuel de l’hébergement et du développement Web. Le nouveau CMS est écrit entièrement en TypeScript, fonctionne en serverless, peut aussi tourner sur son propre matériel ou sur n’importe quelle plateforme, et repose sur Astro pour la couche Web.
Cloudflare insiste aussi sur la rupture juridique et technique avec WordPress. EmDash est open source, distribué sous licence MIT, disponible sur GitHub et compatible dans son objectif avec les usages de WordPress, tout en ayant été développé sans reprendre du code de WordPress.
La sécurité des extensions avec EmDash
Cloudflare base d’abord son offensive sur un constat simple : l’architecture historique des plugins de WordPress reste le principal point faible du CMS. L’entreprise affirme que 96 % des problèmes de sécurité des sites reposant sur WordPress viennent des extensions et qu’en 2025 l’écosystème de WordPress a enregistré plus de failles de sécurité critiques que sur les deux années précédentes réunies.
EmDash répond à ce problème par l’isolation systématique. Chaque extension s’exécute dans son propre environnement isolé via un Dynamic Worker, avec des permissions déclarées à l’avance dans un manifeste, au lieu d’obtenir un accès direct à la base de données et au système de fichiers du site. Cloudflare explique qu’un plugin sur EmDash ne peut effectuer que les actions explicitement déclarées, y compris pour l’accès réseau qui peut être limité à un nom d’hôte précis.
Cette architecture sert aussi un objectif économique. Cloudflare estime que la faiblesse du modèle de sécurité de WordPress a renforcé la dépendance à des places de marché centralisées, où la réputation et la validation manuelle servent de substitut à un vrai environnement isolé. EmDash veut casser cette logique en autorisant n’importe quelle licence pour les plugins et en permettant à un site de faire confiance à un plugin sans exposer tout son environnement d’exécution.
Un CMS construit pour l’après-WordPress
Cloudflare veut aussi repositionner le CMS autour des usages émergents du Web. EmDash intègre nativement x402, un standard de paiement Internet qui permet de facturer l’accès à un contenu à la demande, sans abonnement. L’entreprise présente cette fonction comme une réponse à un Web où des agents accèdent aux contenus à la place des humains et fragilisent les modèles économiques traditionnels des éditeurs.
La promesse technique suit la même logique. EmDash est conçu pour les plateformes serverless et pour le système open source Workerd de Cloudflare, avec une montée en charge instantanée et un retour à zéro en l’absence de requêtes. Cloudflare ajoute qu’EmDash peut fonctionner sur n’importe quel serveur Node.js, mais met en avant son propre environnement pour faire tourner potentiellement des millions d’instances qui montent et descendent automatiquement en charge.
Le projet cible enfin l’automatisation par l’intelligence artificielle jusque dans l’administration du CMS. Chaque instance peut fournir des Agent Skills, une ligne de commande et un serveur MCP intégré pour permettre à des agents de gérer les contenus, les schémas, les médias ou la personnalisation du site. EmDash ajoute par défaut une authentification par passkeys (clés d’accès), une gestion des rôles et des options d’intégration avec un fournisseur SSO pour la connexion.
Cloudflare cherche aussi à réduire le coût de sortie pour les sites existants. L’import depuis WordPress passe soit par un fichier WXR exporté depuis l’administration du site WordPress, soit par un plugin EmDash Exporter qui crée un point d’accès sécurisé protégé par un mot de passe.
La préversion 0.1.0 d’EmDash est déjà proposée en bêta, avec une interface de démonstration et un déploiement possible via ligne de commande ou un compte Cloudflare. Et pour tester la démo, vous pouvez vous rendre sur EmDash Playground.
