EmDash – le successeur spirituel de WordPress qui résout les problèmes de sécurité des plugins

• EmDash, développé par Cloudflare, est un CMS open source entièrement repensé en TypeScript et avec une architecture serverless afin de dépasser les limites structurelles de WordPress
• Chaque plugin s’exécute dans un environnement sandbox isolé, ce qui élimine à la source les vulnérabilités des plugins, à l’origine de 96 % des problèmes de sécurité des sites WordPress
• Le standard de paiement x402 est intégré nativement pour prendre en charge le paiement à la demande (pay-per-use) par contenu, et proposer une structure de monétisation adaptée à l’ère du trafic web piloté par l’IA
• Grâce à une architecture serverless basée sur Cloudflare Workers, le système monte et descend automatiquement en charge à la requête, conciliant réduction des coûts et hautes performances
• En intégrant des fonctions modernes comme la gestion des agents IA, l’authentification par Passkey et une structure de thèmes Astro, il s’agit d’un CMS qui reprend l’esprit de WordPress tout en le réinventant complètement

Présentation d’EmDash

• EmDash est un CMS open source conçu pour résoudre les limites structurelles de WordPress, avec une base entièrement en TypeScript et une architecture serverless
  • Compatible avec les fonctions essentielles de WordPress, mais sans réutiliser son code existant, ce qui permet une distribution sous licence MIT
  • Utilise les Dynamic Worker de Cloudflare Workers pour exécuter chaque plugin dans un environnement isolé (isolate) indépendant
  • Repose sur le framework Astro afin d’offrir des performances optimisées pour les sites centrés sur le contenu
• EmDash est publié sur GitHub et peut être déployé directement sur un compte Cloudflare ou sur un serveur Node.js
• Il améliore en profondeur des problèmes que WordPress n’a pas su résoudre, comme la sécurité des plugins, la réduction de la dépendance au marché, la gestion assistée par IA et la prise en charge des paiements x402

Réussites et limites de WordPress

• WordPress propulse plus de 40 % d’Internet et constitue l’un des grands succès de l’open source ayant contribué à la démocratisation de la publication
• Mais 24 ans plus tard, les environnements d’hébergement et les paradigmes de développement ont profondément changé
  • À ses débuts, il fallait louer un VPS, alors qu’aujourd’hui il est possible de déployer en ne téléversant qu’un bundle JavaScript sur un réseau distribué mondial
• EmDash reprend l’esprit de WordPress, mais le recompose pour répondre aux infrastructures web modernes et aux exigences de sécurité actuelles

Résolution des problèmes de sécurité des plugins WordPress

• 96 % des problèmes de sécurité des sites WordPress proviennent des plugins
  • Les plugins, sous forme de scripts PHP, accèdent directement à la base de données et au système de fichiers
  • Lors de l’installation, ils obtiennent presque tous les droits, sans isolation ni restriction de privilèges
• EmDash exécute chaque plugin dans un environnement sandbox basé sur Dynamic Worker
  • Les plugins ne demandent que les capabilities nécessaires via une déclaration explicite (manifest)
  • Exemple : read:content, email:send, etc., avec seulement les permissions requises
  • L’accès réseau est lui aussi limité aux hôtes explicitement déclarés
• Avant l’installation, il est possible de voir clairement quelles permissions un plugin demande, ce qui offre une structure d’autorisation transparente proche d’OAuth
• Les administrateurs peuvent aussi automatiser leurs politiques d’installation selon les permissions demandées

Sécurité des plugins et fin de la dépendance à une marketplace

• En raison des problèmes de sécurité des plugins, WordPress.org applique une procédure de validation manuelle, avec une file d’attente de plus de 800 éléments
  • Les contraintes de la licence GPL limitent la réutilisation du code et la commercialisation
• EmDash supprime le lock-in du marché grâce à deux améliorations structurelles
  1. Assouplissement des licences de plugins : comme il n’y a pas de partage de code avec EmDash, les développeurs peuvent choisir la licence qu’ils souhaitent
  2. Exécution sécurisée en sandbox : le site peut faire confiance au plugin sans avoir besoin de voir directement son code
• Comme les plugins n’exécutent que les capabilities déclarées, il devient possible d’évaluer finement le risque de sécurité
• Cette architecture réduit ainsi la dépendance à une marketplace centralisée
  • Avec un modèle de sécurité fiable, développeurs et utilisateurs peuvent faire évoluer librement l’écosystème

Standard de paiement x402 intégré — monétisation de l’accès au contenu

• EmDash prend en charge nativement le standard x402, rendant possible un paiement à la demande via la réponse HTTP 402 Payment Required
  • Les utilisateurs peuvent payer contenu par contenu (pay-per-use) sans abonnement
  • Les exploitants de sites peuvent monétiser en ne configurant qu’une adresse de portefeuille et un prix
• Cela ouvre un nouveau modèle économique adapté à l’ère du trafic web porté par les agents IA
• Tous les sites EmDash disposent ainsi d’une structure de revenus intégrée pensée pour l’ère de l’IA

Scalabilité serverless et réduction des coûts

• WordPress nécessite du provisionnement serveur, ce qui entraîne des coûts de ressources inutilisées
• EmDash exploite une architecture d’isolation v8 fondée sur Cloudflare workerd
  • Une instance est créée immédiatement à la requête et, en l’absence de trafic, passe automatiquement en scale-to-zero
  • La facturation porte uniquement sur le temps CPU utilisé
• Via Cloudflare for Platforms, il est possible d’étendre automatiquement à plusieurs millions d’instances
• Cette architecture à faible coût et hautes performances est avantageuse pour gérer de gros volumes de trafic et proposer une offre gratuite

Une structure de thèmes moderne basée sur Astro

• Les thèmes EmDash sont structurés comme des projets Astro et comprennent les éléments suivants
  • Pages : routes de rendu du contenu
  • Layouts : structure HTML commune
  • Components : éléments d’interface réutilisables
  • Styles : configuration CSS ou Tailwind
  • Fichiers seed : définition des types de contenu générés par le CMS
• Astro est un framework populaire présent dans les données d’entraînement des LLM, ce qui le rend accueillant pour les développeurs
• Contrairement à la structure des thèmes WordPress fondée sur functions.php, les thèmes EmDash n’ont pas accès à la base de données, ce qui renforce la sécurité

Un CMS nativement pensé pour l’IA — MCP, CLI, Agent Skills

• EmDash a été conçu comme un CMS que des agents IA peuvent administrer directement
  • Il permet d’automatiser des tâches répétitives comme les migrations de contenu ou les transformations de champs

• Agent Skills

  • Les instances EmDash intègrent des Agent Skills qui fournissent à l’IA des informations sur la structure des plugins, les hooks ou les méthodes de portage des thèmes
  • L’IA peut comprendre la codebase d’EmDash et réaliser une personnalisation automatique

• EmDash CLI

  • La CLI permet d’effectuer des tâches d’administration comme la recherche de contenu, l’envoi de médias ou la génération de schémas
  • Elle peut piloter aussi bien des instances locales que distantes

• Serveur MCP intégré

  • Chaque instance fournit son propre serveur Model Context Protocol
  • Il permet d’exécuter à distance toutes les actions possibles depuis l’interface d’administration

Authentification par passkey et gestion des rôles

• EmDash utilise par défaut l’authentification par Passkey
  • Cela protège contre les fuites de mots de passe et les attaques par force brute
• Le système prend en charge nativement le contrôle d’accès basé sur les rôles (RBAC)
  • Il distingue les permissions selon les rôles : administrateur, éditeur, auteur, contributeur, etc.
• L’authentification peut être étendue sous forme de plugin, avec prise en charge du SSO et de l’intégration de métadonnées IdP

Migration de sites WordPress

• Les sites WordPress existants peuvent être migrés via l’export d’un fichier WXR ou le plugin EmDash Exporter
  • Le plugin Exporter crée un endpoint dédié protégé par WordPress Application Password
  • Le contenu et les médias sont automatiquement transférés vers la bibliothèque EmDash
• EmDash prend en charge une structure de contenu fondée sur des schémas
  • Les Custom Post Type de WordPress sont convertis en collections indépendantes dans EmDash
• Le Block Kit Agent Skill permet de générer des blocs personnalisés avec l’IA

Essayer et contribuer

• EmDash est actuellement disponible en version preview v0.1.0, téléchargeable depuis le dépôt GitHub
• Il est possible d’essayer directement l’interface d’administration sur EmDash Playground
• Commande d’installation locale : npm create emdash@latest
• Le déploiement est également possible depuis le tableau de bord Cloudflare
• Les retours et contributions de la communauté WordPress, des plateformes d’hébergement et des développeurs de plugins et thèmes sont les bienvenus