Cloudflare a présenté EmDash, un nouveau CMS open source considéré comme le « successeur spirituel » de WordPress. La démarche n’est pas anodine : reconstruire desde zéro une grande partie de la logique d’un gestionnaire de contenus classique pour l’adapter à une internet dominée par des déploiements serverless, le développement en TypeScript, les paiements natifs via HTTP et l’automatisation avec des agents d’intelligence artificielle. La société le propose déjà en version preview v0.1.0 et le publie sous licence MIT, avec la promesse qu’il n’utilise pas de code provenant de WordPress.
Ce mouvement s’inscrit dans un message clair : Cloudflare ne remet pas en question la pertinence historique de WordPress, mais affirme que son architecture comporte des limitations difficiles à surmonter, notamment en matière de sécurité des plugins, de déploiement moderne et d’expérience pour les développeurs qui travaillent davantage avec Astro, Node.js ou TypeScript qu’avec PHP. EmDash vise précisément à combler ce vide : maintenir l’ambition d’un CMS ouvert et facile à adopter, mais avec une base technique complètement différente.
Ce n’est pas une idée mineure en termes de marché. WordPress demeure, de loin, le CMS le plus utilisé au monde : selon W3Techs, il équipe 42,5 % de tous les sites web et représente 59,8 % des sites dont le CMS est identifiable. Toute tentative sérieuse de construire une alternative moderne doit donc commencer dans un écosystème qui continue de dominer la publication en ligne à l’échelle mondiale.
La sécurité des plugins, au cœur de la démarche
Le point central de cette annonce concerne la sécurité. Cloudflare soutient que le modèle classique de plugins de WordPress est structurellement vulnérable, car ces extensions s’exécutent avec un accès très étendu au système, à la base de données et au système de fichiers. Cette critique n’est pas gratuite : le rapport « State of WordPress Security 2025 » de Patchstack recense 7 966 nouvelles vulnérabilités détectées dans l’écosystème WordPress en 2024, dont 96 % se situaient dans les plugins, seule une petite fraction affectant le noyau.
Face à cela, EmDash propose une autre approche. Au lieu d’exécuter les extensions dans le même contexte que le CMS, chaque plugin fonctionne dans un environnement isolé via des Dynamic Workers, avec des permissions explicitement déclarées dans son manifeste. L’idée est que le plugin ne puisse accéder qu’aux capacités qu’il demande et qui sont approuvées par l’administrateur, dans un modèle plus proche des permissions limitées que de la confiance totale. Cloudflare présente cette méthode comme un moyen de réduire le risque qu’une extension compromette l’ensemble du site. La proposition est intéressante, même si l’on devra voir comment elle réagit lorsque le projet sortira de la phase beta pour faire face à de grands écosystèmes, des plugins complexes et des administrateurs moins techniques.
Il existe aussi une dimension politique et économique derrière cette initiative. Cloudflare argumente que l’amélioration de la sécurité des plugins pourrait réduire la dépendance aux marketplaces centralisés et donner plus de liberté aux développeurs pour choisir leur licence et leur canal de diffusion. Dans le cas d’EmDash, la plateforme est publiée sous licence MIT, laissant aux auteurs la liberté de choisir leur propre licence. Ce point est crucial, car WordPress est encore marqué par le débat récurrent sur la GPL, la compatibilité et la dépendance à l’écosystème officiel.
Un CMS moderne, mais aussi une vitrine stratégique pour Cloudflare
EmDash est écrit en TypeScript, utilise Astro comme base pour les thèmes et le front-end, et se présente comme une solution serverless par conception, même si Cloudflare souligne qu’il peut également fonctionner sur n’importe quel serveur Node.js ou même en hardware dédié. En pratique, son architecture s’inscrit presque parfaitement dans la vision de Cloudflare : Workers, isolats, workerd, Cloudflare for Platforms et une échelle « jusqu’à zéro » que l’entreprise promeut depuis longtemps comme un avantage face à l’hébergement traditionnel.
Ce projet dépasse donc le simple cadre d’un nouveau CMS : c’est aussi une démonstration technologique des orientations que veut donner Cloudflare au développement web moderne. Applications distribuées, exécution isolée, déploiement global, coûts d’infrastructure faibles pour le idle, et une couche d’extensibilité pensée pour intégrer l’IA et l’automatisation. EmDash peut fonctionner en dehors de l’écosystème Cloudflare, mais tout dans sa conception est aligné avec le modèle opérationnel de la société.
Un aspect particulièrement marquant est l’intégration native avec x402, le standard ouvert de paiements sur HTTP impulsé par la fondation x402, créée par Cloudflare et Coinbase en 2025. EmDash supporte le paiement pour l’accès au contenu sans abonnements traditionnels, en utilisant le code HTTP 402 Payment Required comme base pour des paiements à la demande. Sur le papier, c’est une démarche pensée pour une web où agents automatiques et clients machine à machine peuvent payer pour des ressources spécifiques. D’un point de vue stratégique, c’est une des idées les plus innovantes du lancement, même si elle reste encore très spéculative quant à son adoption à court terme.
IA native, passkeys et migration depuis WordPress
Cloudflare ne se limite pas à parler de sécurité. EmDash se présente aussi comme un « CMS natif pour l’IA », avec sa propre CLI, un serveur MCP intégré et des outils permettant aux agents d’automatiser des tâches d’administration, de migration et de personnalisation. La société avance même que le CMS inclut des « skills » spécifiques pour aider à porter des thèmes hérités de WordPress ou créer de nouvelles extensions. Cette vision se rapproche de la tendance actuelle à faire en sorte que chaque plateforme expose du contexte et des actions aux assistants et agents – même si l’on reste en attente de voir si cela se traduit réellement par une augmentation de productivité ou par une complexité accrue.
Concernant la sécurité d’accès, EmDash adopte par défaut les passkeys, supprimant la nécessité de mots de passe traditionnels, tout en permettant une intégration avec des fournisseurs SSO. Pour la migration, il offre une importation depuis WordPress via un fichier WXR ou un plugin exporteur dédié. Cloudflare assure que cette opération peut également transférer du contenu multimédia et des types de contenus personnalisés dans les collections natives d’EmDash. Ces fonctionnalités sont cruciales car, sans une migration simple et efficace, toute alternative à WordPress fait face à une barrière quasi insurmontable.
Dans tous les cas, il faut garder à l’esprit que le projet en est encore à ses prémices. EmDash n’est aujourd’hui qu’une preview, pas une plateforme mature prête à remplacer WordPress sans friction dans des environnements de production généralistes. Son ambition est plus grande que son niveau de maturité actuel : offrir une vision de ce à quoi pourrait ressembler un CMS ouvert si on le concevait aujourd’hui, avec des priorités radicalement différentes de celles de 2003. Cette ambition pourra attirer des développeurs modernes, des plateformes d’hébergement, et des projets souhaitant s’éloigner de PHP et de l’architecture historique de WordPress. Mais il reste encore beaucoup à faire pour transformer cette promesse en réalité durable dans l’écosystème Cloudflare.
Questions fréquentes
Qu’est-ce qu’EmDash et qui l’a lancé ?
EmDash est un nouveau CMS open source présenté par Cloudflare, considéré comme un « successeur spirituel » de WordPress. Il est écrit en TypeScript, utilise Astro pour le front-end, et est actuellement en phase de preview v0.1.0.
En quoi EmDash diffère-t-il de WordPress ?
Sa principale différence réside dans l’architecture : plugins isolés dans des sandboxes, approche serverless, thèmes basés sur Astro, authentification par passkeys, et outils dédiés à l’IA, CLI et MCP.
Pourquoi Cloudflare insiste-t-elle autant sur la sécurité des plugins ?
Parce que le lancement s’appuie sur un problème réel de l’écosystème WordPress. Patchstack a recensé 7 966 nouvelles vulnérabilités en 2024, dont 96 % dans les plugins. EmDash tente d’adresser ce problème par l’isolation via permissions et exécution séparée.
EmDash peut-il déjà remplacer WordPress en production ?
Il semble encore prématuré de le garantir. Cloudflare le propose en version beta précoce comme une base moderne pour expérimenter, migrer et construire, mais sa maturité, son écosystème et sa stabilité devront encore faire leurs preuves avant de pouvoir rivaliser directement avec WordPress dans des environnements étendus.
