96%。
这是 WordPress 安全漏洞中,来自插件的比例。
2025 年,这个数字还在飙升——今年发现的高危漏洞,比过去两年加起来还多。
一个诞生了 24 年的软件,一个支撑着互联网上 40% 网站的庞然大物,至今没能解决这个最基本的问题。
而现在,有人跳出来说:我来。
WordPress 统治了互联网,但它老了
2003 年,WordPress 出生那年,AWS EC2 还不存在。
那时候建站,意味着租一台虚拟服务器,SSH 登录,一通配置,最后才能把博客搭起来。WordPress 的出现彻底改变了这一切——它让任何会打字的人都能成为出版商。一个普通人,花十分钟安装,就能拥有一个完整的网站。
这有多伟大?
全球数百万人的生计和创作被这款软件改变。WordPress 及其插件、主题生态,创造了 一个价值数十亿美元的市场。
但 24 年过去了,世界已经面目全非。
今天的服务器不再是"租一台机器"的概念。开发者上传一个 JavaScript bundle,就能触达全球用户,成本近乎为零。而 WordPress 还在用 PHP 驱动,还在跑在需要运维的服务器上。
“十年前,任何学写博客的人都会用 WordPress。今天,他们更可能拿起 Astro 或 TypeScript 框架。”
这不是 WordPress 的错。一个 24 年的项目,能活到现在本身已是奇迹。
但有些问题,它真的解决不了。
插件即原罪
WordPress 的插件架构,本质上是一个信任游戏。
一个 WordPress 插件,就是一段 PHP 代码,直接挂载到 WordPress 核心。没有沙箱,没有隔离——插件拥有访问数据库和文件系统的全部权限。
你安装一个插件,就等于把房子的钥匙给了这个插件的作者。
“你必须相信这个插件会完美处理每一个恶意输入和边缘情况。”
问题是,这个信任从未被兑现。
2025 年,WordPress 生态发现的高危漏洞数量创了纪录。安全问题的根源只有一个:插件。96% 的安全漏洞来自插件。Cloudflare 在博客里直接写:
“WordPress 的插件架构从根本上就是不安全的。”
这不仅是安全风险。由于插件代码必须开源(GPL 许可证要求),插件作者被锁死在 WordPress 的生态里——你不能在 WordPress 之外分发你的插件,否则就是违规。
这是一个死循环:安全问题越严重,平台越依赖人工审核。目前 WordPress 官方市场的审核队列已经积压了 800 多个插件,排队要两周以上。
开发者愤怒,用户焦虑,但没人能打破这个局。
直到 EmDash 出现。
EmDash 做了什么?把插件关进笼子
Cloudflare 给这个新生儿取名 EmDash——一个破折号。
它自称是 WordPress的"精神继承者",但从头到脚都是新的:
- 纯 TypeScript 编写
- 基于 Astro 框架(目前最快的内容网站框架)
- Serverless 架构,可以跑在 Cloudflare Workers 上,也可以跑在任何 Node.js 服务器
- MIT 许可证,完全开源
但最关键的,是它如何解决插件安全问题。
在 EmDash 里,每个插件运行在独立的沙箱里——一个 Dynamic Worker。插件不再能直接访问数据库或文件系统。它只能通过"能力声明"(capabilities)来获取有限的权限。
比如,一个"内容发布后发送邮件"的插件,需要声明两个能力:
capabilities: ["read:content", "email:send"]
它只能读取内容,只能发送邮件。它没有网络访问权限,不能读数据库,不能碰文件系统。
安装之前,你就能清楚地看到这个插件能做什么。不能更多,不能更少。
“这就像 OAuth 授权——你给第三方应用一个明确的权限范围,而不是把整个账号交给它。”
这就是 Cloudflare 说的"安全模型有严格保证":一个插件只能做它 manifest 里声明的事。
这不仅解决了安全问题,还顺带打破了生态锁定。
一个更隐蔽的革命:x402
EmDash 还藏了一个惊喜:内置 x402 支付标准。
x402 是互联网原生的支付协议。服务器返回 402 状态码,客户端(可以是 AI Agent)直接付款获取内容。不需要订阅,不需要注册,点对点,按次付费。
这意味着什么?
意味着一个独立博主可以给文章定价,AI Agent 来"读"他的文章时自动付款。意味着内容创作者可以直接向 AI 卖内容,而不再依赖广告。
“旧有的商业模式——用免费内容换流量,再靠广告变现——在 AI 时代正在崩塌。创作者需要新的变现方式。”
EmDash 内置了这个能力。配置一下,设个价格,给个钱包地址,就能收钱。
这是 Cloudflare 对未来的一个赌注:未来互联网上跑的不只是人,还有 AI Agent。它们需要为内容付费,而 CMS 必须原生支持这个场景。
开发者笑了,但疑虑还在
热门评论里,有人直言:
“解决了我的最大痛点。WordPress 最大的问题不是插件安全,而是插件架构本身——插件和上传的图片放在同一个目录,CI/CD 就是噩梦。”
但也有人泼冷水:
“EmDash 的安全模型只在 Cloudflare Workers 上有效。跑在其他平台,它就是一个普通的 TypeScript CMS,没有那层隔离保护。这是架构层面的锁定。”
还有更直接的:
“WordPress 的价值不在代码,而在生态和支持。我不认为十年后 WordPress 会消失。EmDash 的支持计划是什么?我看到提交历史基本只有一个开发者在维护。”
这些质疑不无道理。
EmDash 目前是 v0.1.0 预览版。生态是空的。WordPress 有数万个插件和主题,EmDash 需要从零开始。
但话说回来,WordPress 当年也是从零开始的。
它要革谁的命?
仔细看 EmDash 的定位,它并没有打算"杀死" WordPress。
“WordPress 永远会有一席之地。但内容出版的世界还有很大的成长空间。”
Cloudflare 真正在做的,是给开发者一个新的选择——一个为 2020 年代甚至 2030 年代设计的 CMS。
它属于 TypeScript 时代,属于 Serverless 时代,属于 AI Agent 时代。
WordPress 解决的是"让任何人能建网站"。EmDash 解决的是"让任何 AI Agent 能建网站"。
这是两件事。
最后
24 年了,WordPress 撑起了互联网的半边天。但它的安全问题、它的架构、它的商业模式,都在被新时代甩在身后。
EmDash 不是来拯救 WordPress 的。
它是来取代那个它认为"应该被升级"的东西。
至于能不能成——
时间会告诉我们,这根破折号,究竟能划多长。
【MiniMax-M2.5锐评】:Cloudflare 这波操作,本质上是拿安全痛点当刀,砍向 WordPress 二十年没解决的问题顺带给自己 Workers 生态铺路。x402 是真东西,但生态能不能起来才是关键——毕竟一个没有插件的 CMS,就像一家没有厨师的餐厅。
参考链接:
https://blog.cloudflare.com/emdash-wordpress/