Cloudflare 想重写 WordPress 了:这次最狠的不是换 Astro,而是终于敢对插件开刀
每隔一阵子,互联网都会冒出来一个口号很熟的项目:
- 重做 WordPress
- 用现代技术栈重写 CMS
- 让内容系统重新适配今天的 Web
大多数时候,我看到这种话题的第一反应都比较冷静:行,又来了一个“下一代内容平台”。
但 Cloudflare 这次放出来的 EmDash,我觉得确实比普通“新 CMS 发布”更值得看。原因不是它用了 Astro,也不是它全家桶 TypeScript,而是它终于正面捅了 WordPress 二十多年一直没彻底解决的老问题:插件安全。
说白了,过去很多“重写 WordPress”的项目,重写的是体验、主题、性能,甚至后台 UI。EmDash 想重写的,是更底层的那件事:一个 CMS 到底该怎么扩展,才能既有生态,又别把整站权限直接送出去。
为什么这事配得上认真看
WordPress 到今天还是 Web 世界最夸张的基础设施之一。按 W3Techs 4 月的数据,它依然占已知 CMS 网站的 59.8%,相当于全网约 42.5% 的网站。
这意味着什么?
意味着你现在随手点开一堆网站,背后大概率都有 WordPress 的影子。
但问题也正因为它太大,变得越来越难看。Cloudflare 在 EmDash 的发布文里直接点名:WordPress 插件架构的根子就是不安全。插件装上去以后,很多时候拿到的是对数据库、文件系统和站点上下文的近乎完全访问权。
这不是某个插件开发者不认真,而是架构本身默认信任太多。
Patchstack 的白皮书也给了一个挺扎眼的数据:2024 年 WordPress 生态新披露了 7,966 个漏洞,主要集中在第三方插件;而 Cloudflare 引用的另一组数据更狠——WordPress 站点里 96% 的安全问题都来自插件。
所以 EmDash 最关键的判断,不是“WordPress 老了,要换新前端”,而是:
如果插件还跟核心跑在同一个大屋子里,还能随手摸数据库和文件系统,那你不管前端多现代,底层信任模型还是老的。
这句话我挺认同。
EmDash 真正想改的,不是皮相,是权限模型
EmDash 的核心卖点其实很明确:
- 用 TypeScript 重做 CMS
- 基于 Astro 6 和 Cloudflare Workers
- 插件跑在隔离的 Worker sandbox 里
- 插件要先声明自己需要哪些 capability
这几个词看起来很产品页,但翻成大白话其实就是:
插件不该默认什么都能碰,而该像拿 OAuth 权限一样,先把自己要干什么说清楚。
Cloudflare 给的例子很典型。假设你写一个“文章发布后自动发邮件通知编辑”的插件,它只需要 read:content 和 email:send 这类能力。那理论上它就只该拥有这些能力,而不是顺手还能读别的东西、改文件、摸数据库、乱连外网。
这点特别重要,因为它对应的是一个过去 CMS 世界很少真正做好的问题:
扩展能力越强,默认攻击面通常也越大。
WordPress 这些年最厉害的地方,就是插件生态够大;最要命的地方,很多时候也还是插件生态够大。
生态越繁荣,治理越痛苦;
可扩展性越爽,默认信任就越容易失控。
EmDash 这次想做的,就是把这两个东西重新拆开:
- 继续保留插件生态
- 但把插件执行环境隔离起来
- 再用显式 capability 把权限边界钉死
如果这套能跑顺,它对 CMS 世界的意义,真不只是“WordPress but TypeScript”。
这项目有意思的地方,还在于它很懂现在的开发现实
我觉得 EmDash 不只是一个安全叙事,它还有点“把 2026 年开发现场整个打包带进 CMS”的味道。
从项目说明看,它不是只想做个博客后台,而是把今天开发者习惯的那一套也一起装进来了:
- Astro 集成
- SQLite / D1 / PostgreSQL 这类更现代的存储适配
- S3 / R2 这类对象存储抽象
- Passkey 优先认证
- REST API
- CLI
- 内置 MCP server
- 给 AI agent 用的 skill 文件
这一串东西摆在一起,信号其实很明显:
它想服务的不是传统 PHP 主机时代的站长,而是现在这批把内容站也当工程项目来维护的人。
这批人往往本来就在用 TypeScript、Git、CI、对象存储、serverless、AI 开发工具。对他们来说,最烦的不是“不会装 WordPress”,而是 WordPress 那套历史包袱,已经越来越像在跟另一个时代兼容。
EmDash 这种项目,实际上是在说:
既然现在网站都已经是工程系统了,那 CMS 也别再假装自己只是一个后台表单。
这判断挺对路。
我反而最在意它对“插件市场锁定”的那一刀
Cloudflare 在发布文里还提了一个很多人平时不太会主动聊,但其实很现实的问题:插件市场锁定。
因为 WordPress 插件风险太高,市场只能高度依赖中心化审核、口碑、评分和官方分发体系来兜底。结果就是:
- 开发者想发插件,要进特定市场
- 平台方想控风险,也更依赖中心化审核
- 用户想判断一个插件能不能装,往往只能赌名气和评分
这本质上是一种“因为不够安全,所以必须更中心化”的循环。
而 EmDash 想给出的解法是:
- 插件代码跟核心隔离
- 权限能力提前声明
- 安装前就能知道它被授予什么
- 甚至可以按 capability 做组织级规则,而不只是维护一堆 allowlist
这其实挺像现代云平台和浏览器扩展权限模型那套思路。
它不一定能把“信任”完全消灭掉,但至少能把“我到底在信任什么”这件事,讲得更清楚。
而很多安全事故,说到底就输在这里:
大家以为自己在安装一个功能,实际是在安装一整份默认通行证。
但我也得泼点冷水:这条路没那么容易赢
我对 EmDash 这个方向是看好的,但也不打算吹成“WordPress 要没了”。
原因很简单:CMS 的战争,历史上从来不只是技术优雅度决定的。
WordPress 能坐这么久王座,不只是因为它早,也不只是因为插件多,而是因为它已经形成了非常完整的现实网络:
- 站长习惯
- 模板和主题供给
- 插件商店
- 托管环境
- 教程生态
- 迁移服务
- 大量便宜劳动力和维护经验
新系统要赢,不能只靠一句“我们更现代”。
它至少要回答几个很现实的问题:
- 插件生态能不能真正长起来?
- 非 Cloudflare 环境下体验会不会打折?
- 沙箱能力足够强时,开发体验会不会反过来变复杂?
- WordPress 用户迁移时,能不能不被历史内容和旧插件绊死?
这些都不是靠一篇发布文就能解决的。
而且 EmDash 目前还是 beta。Cloudflare 自己也承认,安全沙箱插件依赖 Dynamic Workers,而这能力目前还不是一个完全零门槛的普惠能力。
所以现阶段更合理的看法不是“它马上取代 WordPress”,而是:
它把 CMS 世界里一个老到大家快默认无解的问题,又重新变成了一个可以认真讨论的工程问题。
这已经很值钱了。
对开发者来说,这条新闻真正值得抄走什么
如果你不是做 CMS 的,这条新闻也不是完全跟你无关。
因为 EmDash 抛出来的,其实是一个更普遍的工程趋势:
默认全权限的插件模式,正在越来越不合时宜。
不只是 CMS。
AI 工具插件、编辑器扩展、自动化 workflow、MCP 工具、内部平台 integration,几乎都在撞同一个墙:
- 扩展性很重要
- 但一旦边界太糊,迟早会出事
过去我们太习惯“先把功能接进来再说”,今天则越来越要面对一个更现实的代价:
每多一个插件,不只是多一个功能入口,也多一个权限入口。
所以我觉得 EmDash 最值得关注的,不只是它能不能赢下 WordPress,而是它有没有机会把一种更现代的扩展安全模型,先在 CMS 这个老战场上跑通。
如果它跑通了,后面受影响的就不只是一类建站工具,而可能是一整批“插件先行”的开发平台。
我的判断
我挺喜欢 EmDash 这次切入点的。不是因为“Cloudflare 又做了个新玩具”,而是因为它终于没把问题停留在 UI、速度和 DX 那些容易讲故事的层面。
它挑的是最难、但也最该动手术的那一层:插件权限和执行隔离。
这东西不性感,却很核心。
因为 WordPress 这些年真正拖后腿的,未必是它不够现代,而是它那套“默认高度信任插件”的历史前提,已经越来越不适合今天这个自动化、云化、AI 化的开发环境。
EmDash 未必会成为下一个 WordPress。
但如果它能证明“生态丰富”和“权限可控”不是二选一,那它已经算给整个 Web 工具链狠狠干了一件正事。