Zum Inhalt springen
70six
Erste Einschätzung: Cloudflare EmDash — der „WordPress-Nachfolger“, der am 1. April kam und kein Scherz ist
Allgemeines

Erste Einschätzung: Cloudflare EmDash — der „WordPress-Nachfolger“, der am 1. April kam und kein Scherz ist

3. April 2026 · Thomas Peter

Ein CMS am 1. April — ernst gemeint?

Als Cloudflare am 1. April 2026 ankündigte, den „geistigen Nachfolger von WordPress“ zu veröffentlichen, war die erste Reaktion im Netz vorhersehbar: „April, April?“ Auf Reddit fragte jemand direkt: „April fools? Honestly don’t know.“ Auf Hacker News wurde spekuliert, ob das Ganze nur ein aufwändiger Scherz sei.

Cloudflare stellte schnell klar: „The name is a joke, but the project is real.“ EmDash ist kein Aprilscherz. Es ist ein echtes Open-Source-CMS, veröffentlicht unter MIT-Lizenz, verfügbar auf GitHub — und es hat eine bemerkenswerte Entstehungsgeschichte.

Was ist EmDash?

EmDash ist ein vollständiges Content-Management-System, komplett in TypeScript geschrieben und auf dem Web-Framework Astro aufgebaut. Es wurde laut Cloudflare in nur zwei Monaten mit Hilfe von KI-Coding-Agenten entwickelt. Das allein ist eine beachtliche Aussage.

Wichtiger Kontext: Cloudflare hat im Januar 2026 die Astro Technology Company übernommen. Astro bleibt zwar Open Source und MIT-lizenziert, aber EmDash ist damit kein Zufallsprodukt — es ist die logische Konsequenz aus einer strategischen Akquisition. Cloudflare baut sein eigenes CMS auf seinem eigenen Web-Framework, gehostet auf seiner eigenen Infrastruktur. Das ist eine vertikale Integration, die man im Hinterkopf behalten sollte.

Was EmDash mitbringt:

  • Admin-Oberfläche mit visuellem Schema-Builder, Medienbibliothek und Navigationsmanagement
  • Rich-Text-Editor basierend auf TipTap mit Portable Text als Speicherformat
  • Plugin-System mit sandboxed Ausführung über Cloudflare Workers
  • Authentifizierung via Passkeys (WebAuthn), OAuth und Magic Links
  • Rollenbasierte Zugriffskontrolle (Administrator, Editor, Author, Contributor)
  • REST-API und WordPress-Import-Wizard
  • Flexible Datenbank-Unterstützung: SQLite, Cloudflare D1, Turso, PostgreSQL
  • Flexible Speicher-Optionen: Cloudflare R2, AWS S3 oder lokales Dateisystem

Technisch nutzt EmDash Kysely als SQL-Query-Builder und die S3-API als Speicher-Abstraktion. Inhalte werden als strukturiertes JSON (Portable Text) statt als HTML gespeichert — eine bewusste Entscheidung, die Inhalte von ihrer Darstellung entkoppelt.

Die Plugin-Sicherheit: Cloudflares stärkstes Argument

Cloudflares zentrales Verkaufsargument ist die Plugin-Sicherheit. Und die Zahlen, die sie nennen, sind real: 96 % aller WordPress-Sicherheitslücken stammen aus Plugins von Drittanbietern. Das liegt daran, dass WordPress-Plugins vollen Zugriff auf Dateisystem und Datenbank erhalten — ein einzelnes fehlerhaftes Plugin kann eine komplette Website kompromittieren.

EmDash löst das elegant: Plugins laufen in isolierten Worker-Sandboxes und müssen ihre benötigten Rechte explizit deklarieren. Ein Plugin, das read:content und email:send anfordert, kann genau das — und nichts anderes. Das ist ein echtes architektonisches Upgrade gegenüber WordPress.

Aber: Wie ernst ist das Plugin-Problem in der Praxis wirklich? Forschungsdaten von Patchstack zeigen, dass nur 17 % der WordPress-Schwachstellen als hochkritisch eingestuft werden — also als wahrscheinlich in automatisierten Massenangriffen ausnutzbar. Von diesen finden sich viele in kaum verbreiteten Plugins. Für eine gut gepflegte WordPress-Installation mit wenigen, sorgfältig ausgewählten Plugins ist das reale Risiko überschaubar.

Cloudflares Lösung ist technisch vorbildlich. Aber es gibt einen wichtigen Haken, den Kritiker auf Hacker News zu Recht anmerken: Das Plugin-Sandboxing über Dynamic Workers funktioniert nur auf Cloudflares eigener Runtime. Wer EmDash auf einem eigenen Node.js-Server betreibt, hat ein TypeScript-CMS — aber ohne das zentrale Sicherheitsfeature. Das relativiert das Argument erheblich und verstärkt die Frage nach Vendor Lock-in.

Wenn Plugin-Sicherheit das Hauptargument für einen CMS-Wechsel sein soll, überzeugt das allein nicht — schon gar nicht, wenn es an eine bestimmte Hosting-Plattform gebunden ist.

x402: Bezahlung direkt im HTTP-Protokoll

Ein Aspekt, der in der Berichterstattung oft untergeht, aber langfristig relevant sein könnte: EmDash unterstützt nativ den x402-Standard. Cloudflare und Coinbase haben diesen offenen Payment-Standard im September 2025 vorgestellt. Er nutzt den HTTP-Statuscode 402 („Payment Required“) — einen Code, der seit der Definition von HTTP/1.1 im Jahr 1997 existiert, aber fast drei Jahrzehnte lang „für zukünftige Nutzung reserviert“ war.

Die Idee: KI-Agenten, die im Netz nach Inhalten suchen, können automatisch für Premium-Inhalte bezahlen — per Micropayment in Stablecoins. Der Agent erhält eine 402-Antwort mit einem Preis, prüft ob das in seinem Budget liegt, signiert die Transaktion und bekommt Zugang. Keine Abonnements, keine API-Keys.

Cloudflare und Coinbase haben dafür die x402 Foundation gegründet, um den Standard voranzutreiben. Und Cloudflare hat gute Karten: Das Unternehmen leitet rund 20 % des gesamten Web-Traffics über seine Server. Ob sich x402 durchsetzt, ist offen. Aber dass Cloudflare Micropayments für KI-Agenten als erstklassiges CMS-Feature betrachtet, zeigt, in welche Richtung sie denken.

KI als Kernkonzept, nicht als Nachgedanke

Ein Aspekt, der EmDash von anderen CMS-Projekten unterscheidet: Es wurde nicht nur mit KI gebaut, sondern auch für KI. EmDash bringt einen eingebauten MCP-Server (Model Context Protocol) mit, über den KI-Assistenten direkt mit dem CMS kommunizieren können — Inhalte erstellen, Schemas anpassen, Migrationen durchführen. Dazu kommen eine CLI für programmatische Verwaltung und sogenannte Agent Skill Files für die Plugin- und Theme-Entwicklung.

Das ist ein grundlegend anderer Ansatz als bei WordPress, wo KI-Funktionen über Plugins nachgerüstet werden. Bei EmDash ist die Maschine-zu-Maschine-Kommunikation von Anfang an eingebaut. Ob das für einen Handwerksbetrieb relevant ist? Heute nicht. In zwei Jahren? Möglicherweise schon.

Sechs Gründe, warum EmDash WordPress heute nicht ersetzen kann

So beeindruckend die Technik ist — EmDash ist nicht bereit für den produktiven Einsatz. Das ist keine Kritik, sondern eine Feststellung, die auch Cloudflare selbst so sieht.

1. Es ist eine Developer-Beta, Version 0.1.0

EmDash hat die Versionsnummer 0.1.0. Das ist ein klares Signal: Dieses Produkt ist für Entwickler und Early Adopters gedacht, nicht für Endanwender. Auf GitHub stehen 4.800 Stars und 74 Commits auf dem Main-Branch — das ist aktive Entwicklung, aber kein ausgereiftes Produkt.

2. Kein Plugin-Ökosystem

WordPress hat über 61.000 kostenlose Plugins. EmDash hat eine Plugin-Architektur — aber noch keine Community und keinen Marktplatz mit fertigen Lösungen. Wer heute ein Kontaktformular, eine Buchungsfunktion oder SEO-Tools braucht, findet bei WordPress alles Nötige. Bei EmDash muss man es selbst bauen.

3. Kein visueller Website-Builder

EmDash hat eine Admin-Oberfläche für Content-Management, die an WordPress erinnert. Aber es fehlt ein Point-and-Click Website-Builder, wie ihn WordPress mit dem Block-Editor, Wix, Squarespace oder andere moderne CMS bieten. Die Gestaltung einer Website erfordert bei EmDash technisches Wissen.

4. CLI-Pflicht bei der Einrichtung

Die Installation läuft über die Kommandozeile: npm create emdash@latest. Auch die „One-Click“-Deployment-Optionen im Cloudflare Dashboard erfordern am Ende technische Konfiguration im Terminal. Für die 70six-Zielgruppe — kleine und mittelständische Unternehmen — ist das keine Option.

5. Das Problem der Infrastruktur-Perspektive

Jamie Marsland von Automattic brachte es auf den Punkt: EmDash löst Probleme, die Infrastruktur-Ingenieuren auffallen — Plugin-Sandboxing, Serverless-Skalierung, moderne Developer-Experience, KI-native Programmierbarkeit. Alles valide Themen.

Aber ein Restaurantbesitzer, ein Handwerksbetrieb oder ein Blogger braucht Buchungen, SEO, Kundenkommunikation. Er braucht ein CMS, das ihm hilft, sein Geschäft zu führen — nicht eines, das seinen Schreibtisch aufräumt, wie Marsland es formulierte.

6. WordPress dominiert mit 42,6 % aller Websites

WordPress betreibt 42,6 % aller Websites weltweit — rund 605 Millionen Seiten. Bei Websites mit CMS liegt der Marktanteil bei 59,9 %. Der nächste Konkurrent, Shopify, kommt auf 5,1 %. Dieses Ökosystem aus Themes, Plugins, Agenturen, Hosting-Anbietern und Entwicklern ist über 20 Jahre gewachsen. Das ersetzt man nicht mit einer 0.1.0-Beta, egal wie gut die Architektur ist.

Was Joost de Valk dazu sagt

Bemerkenswert ist, dass Joost de Valk — der Erfinder des Yoast SEO Plugins und damit einer der einflussreichsten Köpfe im WordPress-Ökosystem — EmDash positiv bewertet. Er sieht in der Architektur kluge Entscheidungen, besonders für die Zusammenarbeit mit KI-Agenten: „Every architectural decision in EmDash seems to have been made with the same question: what if an AI agent needs to do this?“

Wenn jemand mit seiner WordPress-Erfahrung die Architektur lobt, sollte man das ernst nehmen — zumindest für die Zukunft.

Meine Einschätzung

EmDash ist das spannendste CMS-Projekt seit langem. Die Architektur ist durchdacht, die Plugin-Sicherheit vorbildlich, die x402-Integration visionär. Dass es in zwei Monaten mit KI-Agenten entwickelt wurde, ist sowohl beeindruckend als auch ein Zeichen dafür, wie sich Software-Entwicklung verändert.

Aber für meine Kunden — kleine und mittelständische Unternehmen, die eine funktionierende Website brauchen — ist EmDash heute keine Alternative zu WordPress. Kein Ökosystem, keine Plugins, keine einfache Einrichtung, keine Community mit Lösungen für Alltagsprobleme.

Das kann sich ändern. Cloudflare hat die Ressourcen, die Infrastruktur und offensichtlich die Vision. Wenn EmDash in einem Jahr Version 1.0 erreicht, mit einem Plugin-Marktplatz, einem visuellen Builder und einer Einrichtung, die ohne Terminal auskommt — dann reden wir nochmal.

Bis dahin bleibt WordPress die richtige Wahl für alle, die heute eine Website brauchen, die funktioniert. Und ich behalte EmDash im Auge — mit echtem Interesse.

Quellen:
Cloudflare Blog — Introducing EmDash,
EmDash auf GitHub,
The Register — Cloudflare previews AI rebuild of WordPress,
Phoronix — Cloudflare Announces EmDash,
Joost de Valk — EmDash: a CMS built for 2026,
Search Engine Journal — 6 Reasons Why EmDash Can’t Compete With WordPress,
Hacker News Diskussion,
EmDash CMS Guide,
W3Techs — WordPress Market Share,
Cloudflare übernimmt Astro,
x402 Foundation,
Cybernews — Developers aren’t convinced

← Alle Artikel