Cloudflare anuncia la muerte de WordPress y presenta una CMS sin servidores, sin PHP y sin las vulnerabilidades de los últimos 25 años

El equipo Cloudflare decidió no limitarse a actualizar sistemas antiguos y presentó EmDash — un nuevo sistema de gestión de contenidos que los desarrolladores describen como heredero ideológico de WordPress. El proyecto se crea con la idea de una infraestructura web moderna, donde los sitios con más frecuencia funcionan no en servidores dedicados permanentemente, sino en entornos sin servidor, y donde parte de las tareas las asumen la automatización y las herramientas de IA.

La aparición de EmDash se explica de forma sencilla: WordPress sigue siendo una plataforma enorme y muy exitosa, en la que funciona más del 40% de los sitios en Internet, pero el proyecto nació hace casi un cuarto de siglo. Desde entonces la web ha cambiado mucho. Cuando WordPress se lanzó, no existían las plataformas en la nube modernas ni el modelo habitual de hoy, en el que un sitio puede desplegarse como un conjunto de archivos y funciones en una red distribuida casi sin costes de infraestructura. EmDash intenta precisamente aprovechar esa nueva realidad, en lugar de apoyarse en arquitecturas de principios de los años 2000.

La nueva CMS está escrita en TypeScript y se distribuye como proyecto de código abierto bajo la licencia MIT. Los desarrolladores subrayan por separado que no utilizaron código de WordPress para crear EmDash, aunque en cuanto a funcionalidades el sistema debería ser compatible con los escenarios habituales de trabajo con WordPress. Gracias a ello el proyecto no está supeditado a las restricciones de la licencia GPL y puede desarrollarse con un modelo más libre.

El énfasis principal está en la arquitectura de las extensiones. En WordPress los complementos siguen siendo una de las cuestiones más problemáticas para la seguridad. Por estimación de los autores de EmDash, alrededor del 96% de los problemas de seguridad en los sitios WordPress están relacionados precisamente con los complementos, y en 2025 se detectaron en ese ecosistema más vulnerabilidades críticamente peligrosas que en los dos años anteriores juntos. La razón, según ellos, radica en el propio modelo: un complemento de WordPress es un script PHP que se integra directamente en el sistema, obtiene acceso directo a la base de datos y al sistema de archivos y, en la práctica, opera con privilegios casi ilimitados.

EmDash propone otro enfoque. Cada complemento se ejecuta en su propio entorno aislado y no obtiene acceso directo a las entrañas del sitio, sino únicamente las capacidades que haya solicitado previamente en su manifiesto. Si la extensión necesita leer contenido y enviar correos, el sistema le otorgará solo esos permisos. Si precisa acceso a la red, se pueden permitir llamadas solo a un nodo concreto. Este enfoque se acerca al modelo de permisos usado en aplicaciones y servicios, donde el administrador ve de antemano qué obtendrá un componente externo tras instalarlo.

Para los desarrolladores esto cambia no solo la seguridad, sino también las reglas de distribución. En torno a WordPress lleva tiempo consolidada una cultura en la que la confianza en un complemento suele depender de una tienda centralizada, una revisión manual y la reputación de la plataforma. La cola de moderación en WordPress.org, según afirman los autores de EmDash, ya supera los 800 complementos y la espera no baja de 2 semanas. En el nuevo sistema quieren reducir la dependencia de ese intermediario. Un complemento puede licenciarse como se quiera, y la confianza en él debe basarse no en el catálogo donde se publique, sino en un conjunto de permisos claramente descrito y en el aislamiento del código.

Una idea aparte de EmDash tiene que ver con el dinero. El sistema incorpora soporte para el estándar x402 para pagos integrados en la web. Usa el código de respuesta HTTP 402 Payment Required: el cliente solicita un recurso, el servidor informa de que el acceso es de pago y, tras el abono, el acceso se desbloquea. Los desarrolladores creen que ese mecanismo será útil para editores y autores de contenido en un entorno en el que los sitios cada vez son leídos no solo por personas, sino también por agentes programados. En ese caso el modelo publicitario habitual funciona peor, y el pago por acceso individual a un material puede ser una opción más práctica.

La propia arquitectura de EmDash está pensada desde el inicio para plataformas sin servidor. La idea es que el sistema no requiere un servidor en funcionamiento permanente para cada sitio. Al recibir una petición, el entorno de ejecución eleva rápidamente un entorno aislado, ejecuta el código y libera recursos cuando la carga desaparece. El usuario paga solo por el tiempo real de CPU consumido, no por una máquina encendida continuamente. Al mismo tiempo, los desarrolladores aclaran que EmDash también puede ejecutarse en un servidor normal con Node.js, es decir, el proyecto no está atado de forma rígida a una única plataforma.

El frontend en EmDash se construye con Astro. Los temas se crean aquí como proyectos front-end modernos habituales: con páginas, plantillas, componentes, estilos y descripción de la estructura de datos. Para los desarrolladores de frontend ese enfoque resulta más familiar que el modelo antiguo de WordPress con plantillas PHP y functions.php. Una limitación importante también es de principio: un tema no puede ejecutar directamente operaciones sobre la base de datos. Los autores de EmDash presentan esto como otra forma de reducir la superficie de ataque.

La nueva CMS está diseñada también para el control programático mediante herramientas de IA. El proyecto prevé una línea de comandos, un servidor integrado del Model Context Protocol y un conjunto de descripciones que ayudan a los agentes a comprender qué acciones están disponibles en una instalación concreta de EmDash. Se espera que estas herramientas simplifiquen tareas tediosas y repetitivas: reemplazos masivos de campos, traslado de la estructura de contenidos, cambio de nombre de entidades y otras migraciones que normalmente requieren scripts puntuales o complementos temporales.

Por defecto el sistema utiliza autenticación mediante passkey, es decir, sin las contraseñas habituales. Esta elección elimina los riesgos típicos asociados a fugas de contraseñas y a su ataque por fuerza bruta. El acceso puede gestionarse mediante el modelo de roles conocido: administradores, editores, autores y colaboradores obtienen distintos permisos según sus tareas. Si es necesario, EmDash puede conectarse también a un sistema corporativo de inicio de sesión único.

Para la migración de sitios existentes, los desarrolladores han previsto la importación desde WordPress. El contenido puede exportarse mediante un archivo WXR o a través de un complemento exportador especial que abre un punto final protegido con la contraseña de aplicación de WordPress. En la migración el sistema traslada los artículos y los archivos multimedia, y los tipos de contenido personalizados pueden convertirse en colecciones propias de EmDash con un esquema de almacenamiento separado. Esto debería librar a los administradores de la práctica habitual de WordPress, cuando todo hay que encajarlo en una estructura única de entradas mediante extensiones pesadas como Advanced Custom Fields.

De momento EmDash está disponible solo en la versión preliminar 0.1.0. Pero la idea ya se entiende: Cloudflare intenta reunir una CMS abierta y moderna que tome de WordPress la idea de publicación masiva y accesible, pero que renuncie a sus antiguos compromisos arquitectónicos. La cuestión principal ahora no es si EmDash podrá recorrer la misma trayectoria que WordPress, sino si desarrolladores y plataformas de alojamiento mostrarán demanda por un sistema diseñado desde el principio para otra Internet.