Cloudflare, WordPress plugin security 문제 겨냥한 TypeScript CMS EmDash 공개

Cloudflare가 EmDash를 내놓은 배경

Cloudflare는 EmDash를 WordPress의 “spiritual successor”로 소개하며 공개했다. 크롤링 시점 기준 관련 Hacker News 토론은 649점, 481개 댓글로 매우 큰 반응을 얻었다. Cloudflare는 AI coding agent 덕분에 소프트웨어를 만드는 비용이 크게 낮아졌고, 그 연장선에서 지난 두 달 동안 WordPress를 처음부터 다시 생각한 CMS를 만들었다고 설명한다. EmDash는 TypeScript로 작성됐고, Astro를 기반으로 하며, serverless 아키텍처를 기본 전제로 둔다.

Cloudflare의 문제의식은 명확하다. WordPress는 전 세계 웹의 40% 이상을 차지하지만, plugin architecture는 오랫동안 보안의 병목이었다. Cloudflare는 WordPress 보안 이슈의 96%가 plugin에서 나오고, 2025년에는 high severity vulnerability가 직전 두 해를 합친 것보다 더 많이 발견됐다고 지적했다. 즉, 단순히 더 좋은 admin UI를 만드는 것이 아니라, plugin이 WordPress core와 동일한 권한으로 실행되는 구조 자체를 바꾸겠다는 접근이다.

EmDash가 바꾸는 핵심

EmDash에서 각 plugin은 독립된 Dynamic Worker sandbox 안에서 실행된다. plugin은 manifest에 자신이 필요한 capability를 선언해야 하고, 기본적으로 database·filesystem·network에 무제한 접근할 수 없다. Cloudflare는 이를 OAuth permission처럼 install 시점에 무엇을 허용하는지 미리 알 수 있는 구조라고 설명한다. WordPress에서 plugin 하나를 설치하는 순간 사이트 전체를 사실상 신뢰해야 했던 방식과 대비되는 지점이다.

아키텍처 측면에서도 EmDash는 modern web stack에 맞춘 구성을 택했다. Cloudflare 위에서 scale-to-zero 형태로 돌릴 수 있지만, Node.js server 어디에서든 실행 가능하다고 밝힌다. passkey 기반 인증, role-based access control, built-in MCP server, CLI, 그리고 agent가 site customization과 content migration을 자동화하도록 돕는 Agent Skills도 포함된다. WordPress 사이트는 WXR export나 전용 exporter plugin으로 EmDash로 가져올 수 있다.

왜 의미가 큰가

EmDash는 단순한 CMS 대체제가 아니라, AI-native publishing stack을 노린 시도에 가깝다. plugin security를 capability model로 재구성하고, theme와 content migration을 agent-friendly하게 만들며, WordPress 생태계의 marketplace lock-in 문제까지 겨냥한다. 아직 v0.1.0 preview 단계이기 때문에 실제 대규모 운영 사례는 더 지켜봐야 한다. 다만 공개된 설계만 봐도, AI coding agent 시대에 CMS가 어떤 방향으로 재구성될 수 있는지를 보여주는 흥미로운 사례다.

출처: Cloudflare EmDash 발표, Hacker News 토론