Cloudflare 想重写 WordPress：一个叫 EmDash 的新 CMS，先拿插件安全开刀

WordPress 没有倒下，但它确实老了

科技圈很少有人会认真对着 WordPress 说一句“谢谢”，但互联网其实欠它不少人情。过去二十多年里，这套看起来有些笨重、经常被开发者吐槽、主题和插件生态又爱又恨的系统，实实在在把“人人都能建站”这件事推向了大众市场。博客、媒体、个人网站、企业官网，乃至很多今天仍在赚钱的内容生意，底座都是 WordPress。

但问题也很现实：WordPress 生于一个“租服务器、装 PHP、配 MySQL”还是常态的时代。那时候没有 AWS EC2，没有边缘计算，也没有今天这种把代码直接推到全球网络运行、按调用计费的基础设施。互联网的基础地基已经换了几轮，WordPress 还在沿用它当年那套架构逻辑。你可以说它稳定，也可以说它保守；从另一个角度看，它更像一座还在高负荷运转的老火车站——人流依旧庞大，但很多设施早已不是为今天设计的。

Cloudflare 这次推出 EmDash，野心写得非常直白：它不是一个“像 WordPress 的新工具”，而是“WordPress 的精神续作”。这句话很有意思。它既承认 WordPress 的历史地位，也在暗示：真正的问题，不是做一个页面编辑器，不是换个后台 UI，而是要重新发明一套适合当下互联网的发布系统。

它最狠的一刀，砍向了 WordPress 的插件机制

如果你接触过 WordPress 站点运维，就会知道一句老话：WordPress 本身不一定可怕，可怕的是插件。Cloudflare 在文章里给出的数据很刺眼——WordPress 站点 96% 的安全问题来自插件。这个数字并不让人意外，甚至可以说，整个 WordPress 世界的繁荣，恰恰建立在一个长期“带病运行”的插件体系上。

原因并不玄。传统 WordPress 插件本质上就是一段直接嵌进宿主环境的 PHP 代码。它能碰数据库，能碰文件系统，能改后台逻辑，权限几乎是全开的。换句话说，你给网站加一个“SEO 小工具”或者“邮件通知插件”，本质上是在把站点钥匙复制一把递给陌生人。大多数时候没出事，不代表机制本身是安全的，只能说明运气尚可。

EmDash 的不同，在于它不再把插件视为“宿主的一部分”，而是视为“被严格监管的外部能力”。每个插件都运行在独立的隔离沙箱里，基于 Cloudflare 的 Dynamic Workers 和 isolate 架构执行。插件在安装前必须声明自己要什么权限，比如读取内容、发送邮件、访问某个特定域名。系统只授予它显式申请过的能力，超出边界的动作做不了。

这听上去很像手机 App 的权限弹窗，也有点像 OAuth 授权流程。这个类比很关键，因为它意味着网站管理员终于可以在“安装前”理解风险，而不是像过去那样安装后再祈祷。一个插件如果只声明“读取文章并在发布后发邮件”，那么理论上它就不该偷偷去扫描整站数据库，更不该悄悄把数据发往外网。对于一个被插件漏洞折磨了二十多年的生态来说，这不是小修小补，这是架构层面的改朝换代。

Cloudflare 真正想解决的，不只是安全，还有平台垄断

插件安全从来不是一个纯技术问题，它背后连着商业模式。为什么 WordPress 插件市场高度中心化？为什么开发者、平台和用户都越来越依赖某些大型市场和审核体系？因为在原有机制下，大家无法直接信任插件，只能退而求其次，去信任“卖插件的地方”。

这很像食品卫生体系不透明的城市：你不敢随便进一家陌生小店吃饭，只会死盯点评网站和连锁品牌。不是因为那些平台天然更好，而是因为你缺乏直接判断风险的工具。WordPress 插件市场长期扮演的就是这个“风险中介”角色。插件得上架、审核、积累评分、建立口碑，开发者才能获得信任，用户才敢安装。

Cloudflare 认为，问题根子还是插件权限过大。只要插件天然拥有“全站通行证”，那市场就必然朝向集中审核、集中分发、集中声誉体系收拢。EmDash 的思路是反过来：既然插件权限可以被精确约束，用户和平台就不必那么依赖某个中心化市场来替自己做全部判断。更有意思的是，EmDash 没有复用 WordPress 代码，项目本体采用 MIT 许可，插件作者也可以自由选择许可证，而不是被生态历史包袱拖进 GPL 的复杂争论里。

这里其实埋着一个更大的信号。Cloudflare 不只是做了个 CMS，它是在尝试把 npm、Serverless、权限模型这些现代开发世界的规则，移植进内容管理系统领域。过去 CMS 更像“网站装机软件”，以后也许会更像“可部署、可审计、可组合的内容运行平台”。这是我觉得 EmDash 最值得关注的地方：它对 CMS 的理解，已经不是“后台能不能好用”，而是“生态能不能安全地开放”。

它还顺手把 AI 时代的内容生意也塞进来了

如果说插件安全是 EmDash 的技术卖点，那内置 x402 支持则是它对内容商业模式的试探。Cloudflare 在文章里反复提到一个判断：传统网页的免费开放模式正在失灵，尤其是在 AI 代理和爬虫大规模读取内容之后。过去内容网站默认让所有客户端免费访问，换取人类用户浏览和广告收入；现在，越来越多“访问者”可能压根不是人，而是机器代表人来取内容。

这意味着，内容创作者过去那套“你来看，我投广告”的逻辑，会越来越难成立。Cloudflare 给出的答案是 x402——一种基于 HTTP 402 Payment Required 的互联网原生支付标准。简单说，客户端请求内容，服务器回复“要付费”，客户端现场完成支付，再继续拿内容。按次收费，不必先订阅，也不必自己写一整套支付工程。

这套方案现在看起来还很早，甚至有点理想主义。毕竟内容付费从来不是协议一改就能普及，用户体验、钱包基础设施、客户端支持、定价策略，全是现实门槛。但我能理解 Cloudflare 为什么现在押注这件事：如果 AI 代理真的成为未来互联网的重要入口，那么“机器对机器的小额支付”迟早会变成一个必须回答的问题。谁先把这套能力做进产品，谁就有机会参与定义新的内容分发秩序。

EmDash 在这里的妙处是，它不是把付费能力做成一个附加插件，而是把它当作 CMS 的默认能力之一。这个动作很像在说：未来的网站不只是展示内容的页面集合，而是内容、权限、支付和代理访问规则的组合体。传统 CMS 的边界，可能正在被重新划线。

更现代，不代表一定更容易赢

从工程角度看，EmDash 的选型几乎踩在这几年最流行的鼓点上：TypeScript、Astro、Serverless、边缘运行时、按 CPU 计费、可以扩展到零。对于今天的开发者来说，这套话语体系比 PHP、共享主机和 FTP 上传显然更“顺耳”。Cloudflare 也特别强调，EmDash 可以部署在 Cloudflare 上，也可以跑在任意 Node.js 服务器上，尽量避免外界把它看成纯粹的云平台绑定产品。

但产品世界向来不是“架构先进 = 自动胜利”。WordPress 最可怕的地方不是代码，而是生态惯性。它拥有海量主题、插件、教程、服务商、外包团队和站长习惯。很多中小网站主并不关心 isolate、动态 Worker 或精细化权限模型，他们关心的是：我能不能十分钟搭好站？能不能低成本找人维护？旧站能不能迁过去？出了问题有没有人救火？

所以 EmDash 的真正挑战，不在于它能不能证明 WordPress 的插件机制落后，而在于它能不能建立起一个足够大的新生态，把“更安全、更现代”翻译成普通用户也愿意买单的价值。尤其是，安全往往只有在事故发生后才显得重要，而 CMS 迁移的成本，却是在决策那一刻就疼得很具体。

还有一个值得继续观察的问题：Cloudflare 这次把自己的基础设施优势深深织进了产品叙事里。插件沙箱、边缘运行、scale-to-zero、x402，这些能力都与 Cloudflare 近年来的战略方向高度一致。它当然开放，也确实开源，但它是不是会逐步成为“最适合跑在 Cloudflare 上的 CMS”？我的感觉是，答案大概率是肯定的。这不一定是坏事，只是用户和开发者需要看清楚，所谓“开放替代品”的边界究竟在哪里。

从记者视角看，EmDash 最迷人的地方恰恰在这种矛盾感：它一边高举开源和去中心化，一边又明显带着 Cloudflare 试图定义下一代网站基础设施的野心。它像一把新工具，也像一份宣言——在 AI 和边缘计算重新塑造互联网的当口，内容管理系统不该继续只是一个会发文章的后台了。

而如果你是一个被 WordPress 插件漏洞吓过、又对现代开发工具链抱有好感的人，EmDash 至少提供了一个让人眼前一亮的新答案：也许网站后台这件事，真的可以从 2000 年代毕业了。