O WordPress completa quase 24 anos de existência e continua sendo o CMS mais popular do planeta, alimentando mais de 40% de todos os sites da internet. Mas a forma como hospedamos e construímos sites mudou radicalmente nesse período. Quando o WordPress nasceu, o AWS EC2 sequer existia. Hoje, é possível publicar um site globalmente distribuído com custo praticamente zero. Nesse cenário, surge o EmDash, um novo CMS open source escrito inteiramente em TypeScript, que se propõe a resolver os problemas estruturais que o WordPress não consegue mais endereçar.
Se você trabalha com desenvolvimento web, gerencia sites ou simplesmente depende de um CMS robusto para publicar conteúdo, entender o que o EmDash traz de novo é fundamental. Este artigo explora como esse projeto funciona, por que ele resolve a crise de segurança dos plugins do WordPress e o que isso significa para o futuro da publicação de conteúdo na web.
O que é o EmDash?
O EmDash é um CMS open source criado pela Cloudflare, licenciado sob MIT, e construído do zero sem utilizar nenhum código do WordPress. Os criadores o descrevem como o “sucessor espiritual” do WordPress. Ele é serverless por padrão, mas pode rodar em qualquer servidor Node.js ou na infraestrutura que você preferir. Por baixo do capô, o EmDash é alimentado pelo Astro, um dos frameworks web mais rápidos para sites focados em conteúdo.
A versão v0.1.0, lançada em abril de 2025, já está disponível como developer preview. Você pode fazer deploy na sua conta Cloudflare ou em qualquer servidor Node.js. Existe até um playground para testar a interface administrativa diretamente no navegador. Tudo isso é MIT, o que significa que a licença é mais permissiva do que a GPL do WordPress, permitindo que desenvolvedores adaptem, estendam e contribuam com mais liberdade.
O projeto nasce num momento em que o ecossistema WordPress enfrenta turbulências significativas, tanto do ponto de vista técnico quanto comunitário. A proposta do EmDash não é substituir o WordPress da noite para o dia, mas oferecer uma alternativa moderna que aproveita tudo o que evoluiu na infraestrutura web nas últimas duas décadas.
O problema fundamental de segurança dos plugins do WordPress
O maior calcanhar de Aquiles do WordPress são seus plugins. Segundo dados recentes, 96% das vulnerabilidades de segurança em sites WordPress têm origem em plugins. Em 2025, foram descobertas mais vulnerabilidades de alta severidade no ecossistema WordPress do que nos dois anos anteriores combinados. Isso não é coincidência. É um problema arquitetural.
Um plugin do WordPress é um script PHP que se conecta diretamente ao núcleo do sistema. Não existe isolamento. Quando você instala um plugin, está concedendo a ele acesso total ao banco de dados e ao sistema de arquivos do site. Você confia que o desenvolvedor do plugin tratou corretamente cada input malicioso, cada caso de borda, cada possível brecha. Na prática, isso é uma aposta que nem sempre se paga.
O resultado é que o WordPress.org precisa revisar e aprovar manualmente cada plugin em seu marketplace. No momento, a fila de revisão tem mais de 800 plugins esperando, com um tempo médio de pelo menos duas semanas. Essa realidade cria uma dependência enorme do sistema de reputação, avaliações e reviews do marketplace. E como os plugins rodam no mesmo contexto de execução do WordPress, alguns argumentam que eles precisam herdar a licença GPL, o que limita modelos de negócio para desenvolvedores.
Como o EmDash resolve a segurança de plugins
O EmDash adota uma abordagem completamente diferente. Cada plugin roda em seu próprio sandbox isolado, chamado de Dynamic Worker. Em vez de conceder acesso direto aos dados do site, o EmDash oferece ao plugin apenas as capacidades que ele declara explicitamente em seu manifesto. Funciona de forma similar a um fluxo OAuth, onde você concede permissões específicas e escopadas a um aplicativo terceiro.
Um plugin que envia um email quando um conteúdo é publicado, por exemplo, declara apenas duas capabilities: “read:content” e “email:send”. O plugin não tem acesso à rede externa. Não pode acessar o banco de dados. Não pode fazer nada além do que declarou. Mesmo que o plugin tenha dezenas de milhares de linhas de código, a pessoa que o instala sabe exatamente o que está concedendo. Isso muda completamente a dinâmica de confiança.
Essa arquitetura tem implicações profundas. Como as necessidades do plugin são declaradas estaticamente no momento da instalação, plataformas e administradores podem definir regras sobre quais plugins determinados grupos de usuários podem ou não instalar, baseando-se nas permissões solicitadas. Não é mais necessário depender de uma lista de plugins “aprovados” ou “seguros” mantida por terceiros.
O fim do lock-in de marketplace
A segurança precária dos plugins do WordPress criou um efeito cascata que vai além da questão técnica. Como o risco é tão grande, desenvolvedores e plataformas ficam presos ao marketplace centralizado do WordPress.org como única fonte confiável de plugins. E para estar nesse marketplace, o código precisa ser licenciado de forma que essencialmente o torna gratuito em qualquer outro contexto. É uma armadilha.
No EmDash, os plugins podem ter qualquer licença. Como rodam independentemente do CMS e não compartilham código com ele, a escolha da licença é do autor. Da mesma forma que funciona quando você publica um pacote no NPM ou no PyPi. Além disso, como o código do plugin roda em um sandbox seguro, é possível fornecer um plugin a um site EmDash sem que o site sequer veja o código-fonte. Isso elimina a necessidade de um marketplace centralizado como intermediário de confiança.
A analogia que os criadores do EmDash usam é interessante: se você confia que a segurança alimentar é fiscalizada na sua cidade, você experimenta restaurantes novos sem medo. Se não pode confiar que não vai encontrar um grampo na sopa, vai consultar reviews antes de cada refeição, e fica mais difícil para qualquer pessoa abrir um restaurante novo. O modelo de segurança do EmDash é como ter uma fiscalização confiável, que libera o ecossistema para inovar.
Suporte nativo a pagamentos com x402
Uma das funcionalidades mais inovadoras do EmDash é o suporte nativo ao x402, um padrão aberto para pagamentos nativos da internet. Com ele, qualquer site EmDash pode cobrar pelo acesso a conteúdo sem precisar de assinaturas, integrações complexas ou trabalho de engenharia adicional. Basta configurar qual conteúdo requer pagamento, definir o valor e fornecer um endereço de carteira.
O fluxo funciona assim: um cliente (que pode ser um agente de IA, por exemplo) faz uma requisição HTTP e recebe um status 402 Payment Required. Em resposta, o cliente paga sob demanda e o servidor libera o acesso ao conteúdo solicitado. Isso é especialmente relevante no cenário atual, onde agentes de IA acessam sites em nome de usuários. O modelo antigo de monetização via tráfego e publicidade simplesmente não funciona quando não há um humano olhando para a tela.
Para criadores de conteúdo e publishers, isso representa um modelo de negócio nativo para a era da inteligência artificial. Cada site EmDash já nasce com essa capacidade embutida, sem necessidade de plugins extras ou configurações complicadas.
Serverless de verdade e escala para zero
O WordPress exige servidores provisionados e gerenciados, com toda a complexidade de escalar para cima e para baixo como uma aplicação web tradicional. Para plataformas de hospedagem, isso significa manter infraestrutura ativa mesmo quando nenhum visitante está acessando o site. O custo disso é significativo e frequentemente repassado ao cliente.
O EmDash foi projetado desde o início para ser serverless. Isso significa que ele pode escalar para zero quando não há tráfego e escalar automaticamente quando a demanda aumenta. Para quem hospeda sites em plataformas como a Cloudflare, o custo de manter um site ativo sem tráfego é virtualmente nulo. Essa característica muda a economia de hospedar sites baseados em CMS.
Ao mesmo tempo, o EmDash não é exclusivo da Cloudflare. Você pode rodá-lo em qualquer servidor Node.js, no seu próprio hardware ou na plataforma que preferir. A flexibilidade é um princípio de design, não uma concessão.
Astro como motor por trás do EmDash
A escolha do Astro como framework subjacente não é acidental. O Astro é reconhecido como um dos frameworks mais rápidos para sites focados em conteúdo. Ele entrega HTML estático por padrão, enviando JavaScript ao navegador apenas quando necessário. Isso resulta em sites significativamente mais rápidos do que os gerados pelo PHP do WordPress.
Para quem se preocupa com Core Web Vitals e performance de página, fatores que impactam diretamente o ranqueamento no Google, o EmDash oferece uma vantagem estrutural. Não é uma otimização que você precisa perseguir com plugins de cache e CDN. A performance é o ponto de partida.
O fato de o EmDash ser escrito inteiramente em TypeScript também facilita a vida de desenvolvedores modernos. A maioria dos profissionais que trabalham com web hoje conhece TypeScript ou JavaScript. Contribuir com o projeto, criar temas ou desenvolver plugins se torna mais acessível do que aprender as particularidades do PHP no contexto do WordPress.
O legado que o WordPress construiu
É justo reconhecer o que o WordPress realizou. Ele democratizou a publicação de conteúdo para milhões de pessoas. Criou uma comunidade global de desenvolvedores. Transformou vidas e meios de subsistência. Poucos projetos open source tiveram um impacto tão reconhecível em uma geração inteira que cresceu com a internet.
O EmDash não pretende apagar essa história. Pelo contrário, ele se compromete a construir sobre o que o WordPress criou: um stack de publicação open source que qualquer pessoa pode instalar e usar com custo baixo. A diferença é que o EmDash tenta resolver os problemas estruturais que o WordPress, por sua arquitetura e idade, não consegue endereçar. Uma década atrás, quem queria publicar na web aprendia WordPress. Hoje, é igualmente provável que essa pessoa escolha Astro, Next.js ou outro framework TypeScript. O ecossistema precisa de uma opção que empodere um público amplo, da mesma forma que o WordPress fez 23 anos atrás.
Vale a pena migrar agora?
O EmDash está em estágio de developer preview (v0.1.0). Isso significa que é um projeto no início da sua jornada, com muito a ser construído. Para sites em produção que dependem de estabilidade, migrar agora seria prematuro. Mas para desenvolvedores, agências e profissionais de tecnologia que querem estar na vanguarda, acompanhar o projeto desde o início é estratégico.
O repositório no GitHub está aberto para contribuições. Testar o playground, experimentar o deploy na Cloudflare e entender a arquitetura de plugins são formas de se preparar para o que pode se tornar um ponto de inflexão na história dos CMSs.
Para empresas que já enfrentam problemas recorrentes com vulnerabilidades em plugins do WordPress, que gastam tempo e dinheiro significativos mantendo sites seguros e atualizados, o EmDash representa uma mudança de paradigma que vale a pena monitorar de perto.
O que levar em consideração
O EmDash chega num momento em que a web está passando por transformações profundas. Agentes de IA estão mudando como o conteúdo é consumido. Modelos de monetização tradicionais estão sob pressão. A segurança de plugins continua sendo o maior vetor de ataque em sites WordPress. E a infraestrutura serverless tornou obsoleta a necessidade de manter servidores rodando 24 horas para sites que recebem tráfego intermitente.
Se você gerencia sites, desenvolve para a web ou toma decisões sobre infraestrutura digital, o EmDash é um projeto para ficar no radar. Ele não precisa substituir o WordPress amanhã para ser relevante. Basta que resolva os problemas certos, da forma certa, para a geração certa de desenvolvedores e criadores de conteúdo.
Na Webcompany, acompanhamos de perto as evoluções do ecossistema digital para garantir que nossos clientes estejam sempre um passo à frente. Se você quer entender como essas mudanças impactam sua estratégia digital, ou precisa de uma parceria para otimizar sua presença online com inteligência analítica, entre em contato com a nossa equipe. Estamos prontos para construir junto com você.
