EmDashの紹介 — プラグインセキュリティを解決するWordPressの精神的後継者
2026-04-01 | Matt "TK" Taylor, Matt Kane | 11分で読める
ソフトウェア構築のコストは劇的に減少しました。私たちは最近、AIコーディングエージェントを使用してNext.jsを1週間で再構築しました。しかし、過去2ヶ月間、私たちのエージェントはさらに野心的なプロジェクトに取り組んできました:WordPressオープンソースプロジェクトをゼロから再構築することです。
WordPressはインターネットの40%以上を支えています。これは誰もが出版者になることを可能にし、WordPressデベロッパーのグローバルコミュニティを創出した大きな成功です。しかし、WordPressオープンソースプロジェクトは今年で24歳になります。
Webサイトのホスティングは、その間に劇的に変化しました。WordPressが誕生した時、AWS EC2は存在しませんでした。その後の年月で、その作業は仮想プライベートサーバーのレンタルから、JavaScriptバンドルを事実上無料でグローバル分散ネットワークにアップロードすることへと変化しました。
この変化を活用するために、インターネット上で最も人気のあるCMSをアップグレードする時が来ました。
EmDash:新しいCMSの誕生
この新しいCMSの名前はEmDashです。私たちはこれをWordPressの精神的後継者と考えています。
主な特徴
- 完全にTypeScriptで記述
- サーバーレスだが、独自のハードウェアや任意のプラットフォームで実行可能
- プラグインは安全にサンドボックス化され、Dynamic Workersを介して独自のisolateで実行可能
- WordPressプラグインアーキテクチャの根本的なセキュリティ問題を解決
- Astroを基盤として使用(コンテンツ駆動型Webサイト向けの最速Webフレームワーク)
EmDashは完全にオープンソースで、MITライセンスの下でGitHubで利用可能です。EmDashはWordPressの機能との互換性を目指していますが、EmDashの作成にWordPressのコードは使用されていません。これにより、より寛容なMITライセンスの下でオープンソースプロジェクトをライセンスできます。
今すぐ試す
EmDash v0.1.0プレビューを独自のCloudflareアカウントまたは任意のNode.jsサーバーにデプロイできます:
EmDash Playgroundで管理インターフェースを試すこともできます。
WordPressが成し遂げたこと
WordPressの物語は、これまでに見たことのない規模での出版を可能にしたオープンソースの勝利です。インターネット世代に育った人々に同じような認識可能な影響を与えたプロジェクトはほとんどありません。
WordPressのコアへの貢献者、そして何千ものプラグインとテーマ開発者が、何百万人もの出版を民主化するプラットフォームを構築しました。多くの人生と生計がこの遍在するソフトウェアによって変革されました。
WordPressには常に居場所がありますが、コンテンツ出版の世界が成長する余地もたくさんあります。10年前、キーボードを手に取った人々は普遍的にWordPressでブログを出版することを学びました。今日では、その人がAstroや他のTypeScriptフレームワークを学んで構築することも同じくらい可能性があります。
WordPressプラグインセキュリティ危機の解決
WordPressのプラグインアーキテクチャは根本的に安全ではありません。WordPressサイトのセキュリティ問題の96%がプラグインに起因しています。2025年には、WordPressエコシステムで過去2年間を合わせたよりも多くの高重要度脆弱性が発見されました。
20年以上経った今でも、なぜWordPressプラグインセキュリティはこれほど問題なのでしょうか?
WordPressプラグインは、機能を追加または変更するためにWordPressに直接フックするPHPスクリプトです。分離はありません:WordPressプラグインはWordPressサイトのデータベースとファイルシステムに直接アクセスできます。
EmDashのセキュリティソリューション
EmDashはこれを解決します。EmDashでは、各プラグインが独自の分離されたサンドボックス:Dynamic Workerで実行されます。
基盤データへの直接アクセスを提供する代わりに、EmDashはプラグインがマニフェストで明示的に宣言する必要があるものに基づいて、バインディングを介してプラグインに機能を提供します。
このセキュリティモデルには厳格な保証があります:EmDashプラグインはマニフェストで明示的に宣言されたアクションのみを実行できます。
プラグインの例
コンテンツアイテムが保存された後にメールを送信するプラグインの例:
import { definePlugin } from "emdash";
export default () => definePlugin({
id: "notify-on-publish",
version: "1.0.0",
capabilities: ["read:content", "email:send"],
hooks: {
"content:afterSave": async (event, ctx) => {
if (event.collection !== "posts" || event.content.status !== "published") return;
await ctx.email!.send({
to: "[email protected]",
subject: `New post published: ${event.content.title}`,
text: `"${event.content.title}" is now live.`,
});
ctx.log.info(`Notified editors about ${event.content.id}`);
},
},
});
このプラグインは明示的に2つの機能を要求します:
content:afterSave - コンテンツライフサイクルにフックするemail:send - ctx.email関数にアクセスする
プラグインがこれらの機能以外のことを行うことは不可能です。
マーケットプレイスロックインの解決
WordPressプラグインセキュリティは実際のリスクであるため、WordPress.orgはマーケットプレイスの各プラグインを手動でレビューし承認しています。執筆時点で、そのレビューキューは800以上のプラグインが並んでおり、通過するのに少なくとも2週間かかります。
EmDashプラグインには、このマーケットプレイスロックインを軽減する2つの重要な特性があります:
- プラグインは任意のライセンスを持つことができます - EmDashとは独立して実行され、コードを共有しません
- プラグインコードは安全なサンドボックスで独立して実行されます - EmDashサイトがコードを見ることなく、プラグインを提供し信頼できます
すべてのEmDashサイトにx402サポートを内蔵
Webのビジネスモデルは危機に瀕しており、特にコンテンツクリエイターと出版者にとってそうです。コンテンツを広くアクセス可能にし、トラフィックと引き換えにすべてのクライアントに無料アクセスを許可する古い方法は、サイトを見る人間がおらず、代わりにクライアントが彼らのエージェントが彼らに代わってWebにアクセスしている場合に破綻します。
x402は、インターネットネイティブな支払いのためのオープンで中立的な標準です。インターネット上の誰もが簡単に課金でき、任意のクライアントがオンデマンドで従量課金ベースで支払うことができます。
EmDashにはx402のサポートが組み込まれています。これは、EmDashサイトを持つ誰もが、サブスクリプションを必要とせず、エンジニアリング作業ゼロでコンテンツへのアクセスに課金できることを意味します。
すべてのEmDashサイトには、AI時代のための組み込みビジネスモデルがあります。
WordPressホスティングプラットフォームのスケールトゥゼロの解決
WordPressはサーバーレスではありません:サーバーのプロビジョニングと管理、従来のWebアプリケーションのようなスケールアップとスケールダウンが必要です。
EmDashは異なります:サーバーレスプラットフォームで実行され、CloudflareのオープンソースランタイムworkerdのV8 isolateアーキテクチャを最大限に活用するように構築されています。
受信リクエストで、Workersランタイムは即座にisolateをスピンアップしてコードを実行し、レスポンスを提供します。リクエストがない場合はゼロにスケールバックします。そして、CPU時間(実際の作業に費やした時間)のみに課金します。
EmDashは任意のNode.jsサーバーのどこでも実行できますが、Cloudflareでは数百万のサイトを実行できます。