Cloudflare emDash:WordPressの後継者は突然現れた

2026年4月1日、Cloudflareがエイプリルフールに「WordPressの後継者」を発表した。冗談ではなかった。AIエージェントが60日で作ったCMSの正体と、その本当の意味を読み解く。

·
  • Cloudflare
  • emDash
  • CMS
  • WordPress
  • Astro
  • TypeScript
  • Web開発
崩壊するWordPressロゴにCloudflare WAFのシールドが攻撃を仕掛けるコンセプトイラスト。プラグイン脆弱性・セキュリティ崩壊を表現

前回の記事「崩壊するWordPress」を書いてから数日が経たないうちに、象徴的なニュースが飛び込んできた。

2026年4月1日、Cloudflareが新しいCMS「EmDash」を発表した。エイプリルフールに「WordPressの精神的後継者(spiritual successor)」を名乗るCMSが登場したのだ。誰もが冗談だと思った。実際、Hacker Newsのスレッドには「エイプリルフールですか? 本当に分からない」というコメントが並んだ。

冗談ではなかった。

背景:なぜCloudflareがCMSを作ったのか

話はCloudflareのCEO、Matthew Prince氏の一声から始まる。

2026年1月、CloudflareはAstroチームを買収した。AstroはフロントエンドフレームワークとしてすでにWordPressの代替として注目を集めていた(前回の記事でも触れた通りだ)。そのAstroチームのエンジニアであり、2年間Astroコアチームに携わってきたMatt Kane氏がCloudflareに加入した直後、CTOを通じてCEOからのメッセージが届いた。

2026年にWordPressを作るとしたら、どうなるか?

Kane氏はのちにポッドキャストで明かしている。「明らかに断れない挑戦でした。CEOからの指示でもあるし、AstroのメンテナとしてCMSについてはずっと考え続けてきた問いでもあった」。

ただし、このプロジェクトが以前だったら「荷が重すぎる」と見送られていたかもしれないと彼は言う。実現を可能にしたのは、AIエージェントの存在だ。Kane氏はAIエージェントを大量に活用しながら開発を進め、わずか60日でv0.1.0を完成させた。WordPress自体の開発には数十人のエンジニアが24年かけてきた。それを2ヶ月で「再設計」したことになる。

EmDashとは何か:4つのコア設計

1. プラグインのサンドボックス化——WordPressの最大の弱点を構造ごと潰す

WordPressのセキュリティ問題の96%がプラグイン起因であることは、前回の記事でも取り上げた。EmDashはこの問題を「パッチ」ではなく「設計」で解決しようとしている。

EmDashではプラグインが「Dynamic Worker」と呼ばれる隔離されたサンドボックス内で動作する。各プラグインはあらかじめ「どの権限を必要とするか」をマニフェストに宣言しなければならない。read:content(コンテンツ読み取り)やemail:send(メール送信)といった具合だ。この宣言以外の操作は一切できない。

WordPressでは、プラグインをインストールするとデータベースとファイルシステムへのフルアクセスを与えることになる。EmDashの設計はこの前提を根本から覆す。

ただし重要な制約がある。このサンドボックスはCloudflare Workersのv8アイソレートアーキテクチャに依存しており、Cloudflare以外の環境では動作しない。Node.js環境にデプロイすることはできるが、その場合はサンドボックス機能が失われる。後述するMullenweg氏の批判はここに集中している。

2. Astroネイティブ&TypeScript——PHPからの完全な決別

EmDashはAstro 6.0のインテグレーションとして設計されている。テーマはすべて標準的なAstroプロジェクトとして書かれ、ページ、レイアウト、コンポーネント、スタイル、そしてコンテンツタイプを定義する「seedファイル」(JSON)から構成される。

コードベースはすべてTypeScript。PHPは一行もない。

これは単なる言語の置き換えではなく、思想的な転換だ。LLMはAstroのコードで豊富に訓練されており、AIエージェントがテーマやプラグインを生成・修正するのが容易になる。Yoast SEOの創業者Joost de Valk氏はEmDashについてこう書いた——「EmDashのすべての設計判断は、同じ問いから来ているように見える:AIエージェントがこれをやる必要があるとしたら?

3. コンテンツをPortable Textで管理——HTMLという呪縛からの解放

WordPressはリッチテキストをHTMLとして保存し、表示とデータが一体化している。EmDashは代わりに「Portable Text」という構造化されたJSONフォーマットを採用する。

これはコンテンツとその表示を完全に切り離す。同じコンテンツをWebページ、モバイルアプリ、メール、APIレスポンスとして出力できる。HTMLを解析する必要がない。

この設計はGutenbergへの暗黙の批判でもある。WordPressはpost_contentにHTMLを格納し続けており、コンテンツがDOM表現と不可分に結びついてしまっている。EmDashはその問題に正面から答えた設計を取っている。

4. AI-nativeな三つの仕組み

EmDashには、AIエージェントとの連携を前提にした仕組みが三つ組み込まれている。

Agent Skills——CMSの機能、プラグインフック、テーマ移植の手順を記述したドキュメントで、AIエージェントが機械的に読めるよう構造化されている。CLI——コンテンツ、メディア、スキーマをプログラムから管理できる。ビルトインMCPサーバー——ClaudeやChatGPTといったAIツールがサイトに直接接続し、コンテンツ編集、メディアアップロード、スキーマ変更などを実行できる。

さらにEmDashはx402というオープンスタンダードをサポートしている。これによってサイトオーナーは、AIクローラーや任意のHTTPクライアントに対してコンテンツへのアクセスを従量課金で販売できる。サブスクリプション基盤もカスタム開発も不要だ。

認証はパスキーをデフォルトとし、フォールバックとしてマジックリンクを使う。パスワードは存在しない。ブルートフォース攻撃もクレデンシャルスタッフィングも、攻撃対象がそもそもない。

Mullenweg氏の反応:「Cloudflareのサービスを売るために作られた」

発表翌日、Mullenweg氏は自身のブログで即座に反応した。

技術的な評価は正直なものだった。「製品は非常に堅実で、優れたエンジニアリングがある。マイグレーションツールも良く、速度も出ている。Astroの統合も良い」と認めた上で、二点を批判した。

一つ目は「精神的後継者」という表現への反発だ。WordPressの核心はあらゆる環境で動くこと——ラズベリーパイでも、インドネシアの月99セントのサーバーでも。EmDashの本質的な価値(サンドボックス)はCloudflare上でしか動かない。「これはWordPressの精神ではない」という主張だ。

二つ目は、プラグインセキュリティを「バグではなくフィーチャー」と表現した点だ。プラグインがWordPressのあらゆる側面を変更できる柔軟性こそが強みであり、AIの進化によって18ヶ月以内にプラグインのセキュリティ問題は解決できると述べた。

Cloudflare側のMatthew Prince CEOはこの批判を「フェアな指摘(fair critique)」と認めつつ、「WordPressのエコシステムにより多くの開発者を引き込むことになればと思っている」と応じた。

2026年4月の皮肉な構図

ここで少し立ち止まって、状況の皮肉を整理したい。

EmDashを最も早く評価し、熱心に支持したのがJoost de Valk氏だ。彼はつい3ヶ月前、Mullenweg氏によってWordPress.orgのアカウントを停止させられた人物である。「フォークを計画している」という名目だったが、実際には内部改革を提案しただけだった。

そのde Valk氏が「2026年のCMSとして最も興味深いもの」と評したプロダクトが、Cloudflareから登場した。「このブログをAstroに移行したとき、CMSとは決別したと思っていた。でも一晩でEmDashのテーマを作りコンテンツを移行し始めた——AIエージェントがこれほど自然に構築できるCMSは抗いがたい」と彼は書いた。

一方でMullenweg氏が率いるAutomatticは、2025年だけで2回の人員削減を経て、コアのWordPress開発者の大半を失った状態にある。「WordPressのAgent Skillsは今すぐ作るべきだ」と彼自身が認めるほど、EmDashのAI設計思想には圧力を感じているようだ。

現実的な評価:今すぐ移行できるか?

正直に言えば、今すぐの移行は難しい

EmDashはv0.1.0のベータプレビューだ。プラグインのエコシステムはほぼゼロ。WordPress移行ツールはコンテンツのインポートには対応しているが、テーマとプラグインはすべて書き直しが必要になる。Portable Text形式への変換は非自明なエンジニアリング作業だ。

Hacker Newsのコメントにある指摘も的確だ——「サンドボックスというキラーフィーチャーは、Cloudflare上でしか機能しない」。CloudflareのWorkers以外の環境でホストしたい場合、最大のメリットが失われる。

だからといって無視すべきではない。

Kinstaのコミュニティマネージャーは「これは大規模移行の瞬間というよりも、CMSマーケットがどこへ向かうかのシグナルだ」と述べた。適切な評価だと思う。

前回の記事との接続:なぜ今このタイミングか

前回の記事で書いたことを振り返る。

WordPressはAIによるボット攻撃の激化に直面し、プラグインの脆弱性は加速度的に増え、コア開発者は粛清と恐怖によって去っていき、創業者は自身のコミュニティを「地雷原」にしてしまった。そしてAstroとヘッドレスCMSへの移行を検討すべきだと締めくくった。

EmDashはその「答え」の一つの形として登場した。Astroをベースに、TypeScriptで構築され、プラグインを構造的に隔離し、AIエージェントとのネイティブ連携を前提に設計されている。前回の記事で挙げたWordPressの問題点を、ほぼすべて設計レベルで解決しようとしている。

もちろんまだ未熟だ。エコシステムがない。移行ツールは不完全だ。Cloudflare依存という制約もある。

しかし重要なのは、Cloudflareほどのインフラ企業が本気でCMSに参入してきたという事実だ。WordPressのシェアは40%を超えているが、それはイノベーションを止める理由にはならない。むしろそのシェアの大きさが、次世代CMSを作る動機になっている。

おわりに:「精神的後継者」という言葉について

Mullenweg氏はEmDashを「精神的後継者ではない」と言った。一理ある。

しかし別の見方もある。

WordPressが生まれた2003年、それまでの技術的制約を解体して「誰でもパブリッシャーになれる」環境を作った。EmDashが目指しているのも、現代の技術的制約——プラグインの脆弱性、PHPというレガシー、モノリシックなアーキテクチャ、HTMLへのコンテンツの癒着——を解体して「誰でも安全に、AIとともにサイトを作れる」環境を作ることだ。

その意味において、EmDashは確かに何かの「後継者」かもしれない。WordPressのコードの後継者ではなく、「パブリッシングを民主化する」という精神の、2026年版の解釈として。

今すぐ移行する必要はない。でも目を離す必要もない。

Last updated