Cloudflare hat mit EmDash ein neues Open-Source-Content-Management-System als Beta-Preview veröffentlicht – und bezeichnet es offiziell als den „geistigen Nachfolger“ von WordPress. Das klingt nach einer großen Ansage, zumal WordPress nach wie vor rund 40 Prozent aller Websites im Netz antreibt. Ob EmDash wirklich das Zeug hat, den Platzhirsch anzugreifen – oder ob es sich nur um ein cleveres Marketing-Projekt für Cloudflare Workers handelt, schauen wir uns genauer an.
Was ist EmDash überhaupt?
EmDash ist ein serverless, vollständig in TypeScript geschriebenes CMS, das auf dem Open-Source-Webframework Astro basiert. Astro wurde Anfang 2026 von Cloudflare übernommen – EmDash ist technisch gesehen eine Astro-Integration. Der Name leitet sich übrigens vom sogenannten Geviertstrich (—) ab, der in der englischen Typografie als Gedankenstrich eingesetzt wird.
Das CMS steht unter der MIT-Lizenz auf GitHub bereit und befindet sich aktuell in der Beta-Preview-Version 0.1.0. Drei Starter-Templates für Blog, Marketing und Portfolio sind im Lieferumfang enthalten. Wer das Admin-Interface ausprobieren möchte, kann das direkt in einem öffentlichen Playground tun.
Plugin-Sicherheit als zentrales Versprechen
Das größte Alleinstellungsmerkmal von EmDash ist sein Sicherheitsmodell für Plugins. Laut Cloudflare stammen 96 Prozent aller Sicherheitsprobleme in WordPress aus Plugins – und 2025 gab es mehr schwerwiegende Schwachstellen im WordPress-Ökosystem als in den beiden Vorjahren zusammen.
Der Grund: WordPress-Plugins laufen im selben Ausführungskontext wie WordPress selbst und haben uneingeschränkten Zugriff auf Datenbank und Dateisystem. EmDash geht einen anderen Weg: Jedes Plugin wird in einer eigenen, isolierten Sandbox ausgeführt – sogenannte Dynamic Workers, die auf Cloudflares Runtime-Technologie basieren. Ähnlich wie OAuth-Scopes muss jedes Plugin in einem Manifest explizit deklarieren, auf welche Ressourcen es zugreifen darf. Was nicht deklariert ist, bleibt gesperrt.
Ein weiterer Vorteil: Plugins für EmDash können eine beliebige Lizenz haben, da sie vollständig unabhängig vom CMS-Kern laufen. Das soll den Marketplace-Lock-in beenden, den Cloudflare WordPress vorwirft.
Serverless, KI-nativ und TypeScript-first
EmDash ist von Grund auf serverless konzipiert. Es skaliert auf null herunter, wenn keine Anfragen eingehen, und springt bei Bedarf blitzschnell hoch – abgerechnet wird ausschließlich die aktive CPU-Zeit. Das macht es besonders interessant für Hosting-Plattformen, die viele Websites verwalten und unnötige Idle-Kosten vermeiden wollen.
Als „KI-natives CMS“ bezeichnet Cloudflare EmDash außerdem, weil jede Instanz über:
- eingebaute Agent Skills für die Plugin- und Theme-Entwicklung verfügt
- einen integrierten MCP-Server (Model Context Protocol) mitbringt, über den KI-Tools wie Claude oder ChatGPT direkt mit der Website interagieren können
- ein CLI besitzt, das KI-Agenten das programmatische Verwalten von Inhalten, Schemas und Medien ermöglicht
Statt Inhalte wie WordPress als HTML mit eingebetteten Metadaten zu speichern, setzt EmDash auf Portable Text – ein strukturiertes JSON-Format, das Inhalte vollständig von ihrer Darstellung trennt. Derselbe Content lässt sich so ohne HTML-Parsing als Webseite, mobile App, E-Mail oder API-Antwort rendern.
Migration von WordPress und Starter-Templates
Wer von WordPress wechseln möchte, hat zwei Möglichkeiten: den Import einer WXR-Exportdatei oder den Einsatz des EmDash-Exporter-Plugins. Zu beachten ist allerdings, dass dabei ausschließlich Inhalte übertragen werden – Plugins und Themes müssen neu gebaut werden, da die bisherigen PHP-basierten Lösungen nicht kompatibel sind.
Für den Einstieg stehen drei Templates bereit: Blog, Marketing und Portfolio. Das EmDash-Admininterface ist bereits im Playground testbar, bevor man sich für eine Installation entscheidet.
Entwickler-Community zeigt sich skeptisch
Die Reaktionen in der Developer-Community fallen gemischt aus. Auf Hacker News vermuteten viele zunächst einen Aprilscherz – kein Wunder, da EmDash am 1. April 2026 angekündigt wurde. Hauptingenieur Matt Kane stellte klar: „Name is a joke but the project is real.“
Kritiker bemängeln vor allem, dass das Plugin-Sandbox-Modell in der vollen Ausprägung nur auf Cloudflares eigenem Runtime funktioniert. Wer EmDash selbst hostet, erhält kein sandboxed Plugin Execution. Das macht EmDash in der Praxis zu einem Cloudflare-optimierten Produkt – trotz des Open-Source-Ansatzes. Andere sehen das Hauptproblem darin, dass WordPress nicht einfach durch ein technisch besseres System abgelöst werden kann: Das Ökosystem aus Millionen von Plugins, Themes und einer weltweiten Community ist in zwei Monaten AI-gestützter Entwicklung nicht reproduzierbar.
Fazit: Interessanter Ansatz, langer Weg vor EmDash
EmDash ist kein Aprilscherz, aber auch noch keine ernsthafte WordPress-Konkurrenz – zumindest noch nicht. Das EmDash CMS bringt frische Ideen mit: sandboxed Plugins, serverless Architektur, KI-native Features und ein sauberes TypeScript-Fundament. Die kritische Schwäche ist das fehlende Ökosystem und die faktische Abhängigkeit von Cloudflare für die zentralen Sicherheitsversprechen. Wer neugierig ist, kann den Playground ausprobieren und den Code auf GitHub begutachten. WordPress dürfte so schnell nicht verdrängt werden – aber EmDash könnte den Druck erhöhen, längst überfällige Verbesserungen anzugehen.
