**エムダッシュ** 「プラグインのセキュリティ問題を解決した、WordPress の精神的後継者」

2026‑04‑01
11 分読了

ソフトウェア開発のコストは劇的に低減しました。私たちは最近、AI コーディングエージェントを使って Next.js を 1 週間で再構築しました。そして過去 2 か月間、さらに大規模なプロジェクトに取り組んできました：WordPress のオープンソースプロジェクトをゼロから再構築する作業です。

WordPress はインターネットの 40 % を超えるサイトを支えており、誰もがパブリッシャーになれる環境と開発者コミュニティを創出した大成功事例です。2026 年には 24 歳目を迎えます。その間にウェブホスティングは劇的に変化しました。WordPress が誕生した頃は AWS EC2 は存在せず、現在では JavaScript バンドルをほぼ無償で世界中のネットワークへアップロードできます。インターネット上で最も人気のある CMS を刷新する時が来たのです。

EmDash – WordPress の精神的後継

• 完全 TypeScript で書かれています
• デフォルトはサーバレス が可能ですが、任意の Node.js プラットフォーム上でも動作します
• プラグインは Dynamic Workers により安全にサンドボックス化 され、WordPress のプラグインアーキテクチャが抱えるコアセキュリティ問題を解決
• Astro がベースで、コンテンツ主導型サイト向けの最速フレームワーク

EmDash は完全オープンソースで MIT ライセンス、GitHub で公開されています。WordPress の機能互換性を目指しつつも、コードは WordPress から一切コピーしていないため、より寛容な MIT ライセンスで配布できます。

• v0.1.0 プレビュー を自分の Cloudflare アカウントまたは任意の Node.js サーバにデプロイし、早期開発者ベータに参加してください。
• EmDash Playground で管理画面を体験してみましょう。

WordPress が成し遂げたこと

WordPress はオープンソースの奇跡であり、かつてない規模での出版を可能にしました。コア開発者・プラグイン作者・テーマ作家らが築いたこのプラットフォームは、何百万もの人々にパブリッシングを民主化しました。しかし、コンテンツ公開にはまだ成長余地があります。今日の開発者は Astro や他の TypeScript フレームワークを選ぶケースも増えています。

EmDash は WordPress が作り上げた「低コスト・オープンソース出版スタック」をベースに、解決できなかったコア課題を修正します。

WordPress プラグインのセキュリティ危機への対処

WordPress のプラグイン構造は根本的に不安定です。

• 96 % のセキュリティ問題はプラグインから発生
• 2025 年には過去二年間を合算したよりも多くの高重症脆弱性が報告されました

なぜそれが問題なのか？ WordPress プラグインは PHP スクリプトで、WordPress に直接フックします。データベースやファイルシステムへの完全アクセスを与えるため、インストールしただけで信頼が全て委ねられます。

EmDash の解決策

• 各プラグインは独立したサンドボックス Dynamic Worker で実行
• プラグインはマニフェストで必要な権限を宣言し、その権限のみ操作可能
• 明示的に許可されない限り外部ネットワークアクセスは不可

例:

import { definePlugin } from "emdash";

export default () =>
  definePlugin({
    id: "notify-on-publish",
    version: "1.0.0",
    capabilities: ["read:content", "email:send"],
    hooks: {
      "content:afterSave": async (event, ctx) => {
        if (
          event.collection !== "posts" ||
          event.content.status !== "published"
        )
          return;

        await ctx.email!.send({
          to: "[email protected]",
          subject: `New post published: ${event.content.title}`,
          text: `"${event.content.title}" is now live.`,
        });

        ctx.log.info(`Notified editors about ${event.content.id}`);
      },
    },
  });

このプラグインは「content:afterSave」と「email:send」の二つの権限を明示的に要求しています。その他何もできず、宣言されない限り外部アクセスもありません。

マーケットプレイスでのロックイン

WordPress プラグインは WordPress と同じ実行環境内で動くため GPL ライセンスとセキュリティリスクを共有します。WordPress.org のマーケットプレイスでは各プラグインを手作業で審査し、800 を超えるキューがあるため新規リリースの承認に数週間かかります。この遅延は開発者を抑制し、ロックインされたエコシステムへ強制します。

EmDash はこのロックインを排除します：

• プラグインは MIT, Apache 等任意のライセンスで配布可能
• コードは安全なサンドボックス内で実行され、サイト側にソースが露出しません

したがって開発者は第三者マーケットプレイスを利用しても制御権やライセンス制約を失うことはありません。

組み込みビジネスモデル – x402

従来のウェブ収益化モデル（トラフィックに対する無料コンテンツ）は、クライアントとして AI エージェントが登場したことで脅かされています。x402 はインターネット本体で動作するオープンで中立的な決済標準で、任意のクライアントが 402 Payment Required ステータスコードを通じてオンデマンド支払いできるようにします。

• EmDash は x402 を組み込みサポート
• 支払対象コンテンツ、価格設定、ウォレットアドレスを管理画面で宣言
• サブスクライブや追加エンジニアリングは不要 ― 管理パネルで支払いルールだけ設定すれば完了

スケール・トゥ・ゼロホスティング

WordPress はサーバレスではなく、低負荷時にアイドル状態のプリプロビジョニングされたサーバが必要です。EmDash は Cloudflare のオープンソースランタイム（workerd） 上で動作します：

• すべてのリクエストは即座にアイソレートを起動し、アイドル時にはゼロへスケールダウン
• CPU 時間のみ課金されるためコスト効率が高い

EmDash は任意の Node.js サーバ上でも実行可能で、Cloudflare では数百万インスタンスが完全にゼロまたは必要に応じて拡張します。

Astro を使ったモダンテーマ

EmDash テーマを作成するには Astro プロジェクト を構築します。ワークフローは次のようになります：

• Pages – コンテンツ表示用 Astro ルーティング
• Layouts – 共通 HTML 構造
• Components – 再利用 UI 要素
• Styles – CSS または Tailwind 設定
• Seed ファイル – JSON によるコンテンツタイプとフィールドの定義

この親しみやすいワークフローにより、フロントエンド開発者や LLM がデータベースアクセスを恐れずテーマを構築できます。EmDash テーマは任意のデータベース操作を行えません。

AI ネイティブ CMS：MCP, CLI, そしてスキル

手動でコンテンツ移行するのは面倒です。EmDash は次の機能を提供します：

• Agent Skills – プラグインやテーマ移行時に必要な機能・フック・ガイダンスを公開
• CLI – ローカルまたはリモートインスタンスへのプログラム的操作（メディアアップロード、コンテンツ検索、スキーマ管理）
• MCP サーバ – 管理 UI と同等の機能を持つ Model Context Protocol サーバ

これらのツールにより AI エージェントはサイトを自動でカスタマイズできます。

プラグイン認証

EmDash はデフォルトでパスキー認証（パスワード不要、ブルートフォース対策）を採用。ロールベースアクセス制御（admin, editor, author, contributor）が組み込まれ、任意の SSO プロバイダーと IdP メタデータを通じて統合できます。

WordPress サイトの EmDash へのインポート

• WordPress から WXR ファイルをエクスポートするか、EmDash Exporter プラグインをインストール
• エクスポーターは WordPress アプリケーションパスワードで保護された安全なエンドポイントを生成
• 移行は数分で完了し、メディアも自動的に取り込み

カスタム投稿タイプは管理画面から直接新しい EmDash コレクションとしてインポートされます。

ぜひお試しください

• v0.1.0 プレビュー – 試してみて、フィードバックや GitHub 貢献をお願いします
• 管理画面：EmDash Playground
• CLI を使ってローカルサイトを作成：

npm create emdash@latest

あるいは Cloudflare ダッシュボードからデプロイ。

WordPress コミュニティに関わる皆さん（ホスティングプラットフォーム、プラグイン・テーマ作者等）は、ぜひ [email protected] までご連絡ください。EmDash に期待する機能をお知らせいただければ幸いです。メールアドレスで更新情報をご購読いただくと最新情報が手に入ります。

Cloudflare

Cloudflare の接続クラウドは企業ネットワーク全体を保護し、あらゆるウェブサイトやインターネットアプリケーションを高速化。DDoS 攻撃から守り、Zero Trust を実現します。1.1.1.1 へアクセスして、無料のインターネット高速化・安全化アプリをお試しください。

より良いインターネット構築へのミッションやキャリアチャンス、Cloudflare Workers、オープンソースプロジェクト、製品ニュースに関する情報はぜひご覧ください。