Říká se, že WordPress pohání půlku internetu. Tvrzení není daleko od pravdy. Tento legendární PHP monolit z roku 2003, který se aktuálně připravuje na svou sedmou verzi, pohání 42.5% všech webových stránek a 59.8% všech redakčních systémů na světě. Od nejmenších blogísků až po největší mediální domy.
Král WordPress
Za dobu fungování WordPressu vznikla řada vyzyvatelů, avšak žádný jej vážně neohrozil. Jistou část popularity v blog segmentu si získal Ghost CMS, který vznikl jako open source alternativa k populární blogové platformě Medium. WordPress bez úhony na popularitě přežil nástup JAMstack vlny, která přinesla populární kombinaci JavaScript + API + Markup. V té době vznikla řada zajímavých CMS (Content Management System), které však nedokázaly najít lepší monetizační model, než nabrat rizikový kapitál a nechat jej úřadovat. Takže vývojáři zmigrovali na zakázkové implementační studia a z nadějného open source CMS vznikl nepoužitelný open core. Naopak WordPress udělal jednoduchou věc. Otevřel API rozhraní a řekl, že kdo nechce jeho šablonovací systém, ten si přes WordPress API natáhne obsah do frontendu dle libosti. Uživatelé stále používali stejné redakční rozhraní a webmasteři získali naprostou volnost. Jak se říká, win-win.
Cloudflare vyzyvatel na scénu
Tím se dostáváme k hlavnímu tématu, kterým je vznik duchovního nástupce WordPressu s názvem emDash. Tedy alespoň dle tvrzení jeho autorů ze společnosti Cloudflare. Co má mít emDash lepší než WordPress asi již někteří tuší. Je to bezpečnost. Konkrétně bezpečnost pluginů třetích stran. Jestli něco uživatele WordPressu trápí, tak jsou to bezpečnostní slabiny. Nebo lépe řečeno, zranitelná architektura WordPressu, pro který existují desítky tisíc pluginů pochybné kvality od pochybných vývojářů. Zranitelnost dodavatelského řetězce, jak se dnes s oblibou říká. WordPress totiž doposud nemá žádné řízení přístupu. Plugin má stejná oprávnění k databázi a souborovému systému jako jádro WordPressu. Naopak plugin EmDash může provádět pouze akce výslovně deklarované v jeho manifestu.
Cloudflare tedy nasadil armádu AI agentů a vytvořil emDash, který se zvenku tváří jako WordPress, ale uvnitř nemá s PHP nic společné. Nejde tedy o žádný fork. Cloudflare posadil emDash na TypeScript Astro web framework, který nedávno akvíroval. Protože Cloudflare působí jako service provider, navrhl emDash primárně na své služby. Nikoliv výhradně, jak ukazuje následující tabulka:
| Vrstva | Cloudflare | Alternativa |
|---|---|---|
| Database | D1 | SQLite, Turso/libSQL, PostgreSQL |
| Storage | R2 | AWS S3, any S3-compatible service, local filesystem |
| Sessions | KV | Redis, file-based |
| Plugins | Worker isolates | In-process (safe mode) |
Kromě Worker isolates (https://developers.cloudflare.com/dynamic-workers/) jsou ostatní Cloudflare služby v základním tarifu zdarma. Pluginy se případně dají vypnout přes worker_loaders v wrangler.jsonc a použít tak pouze D1, R2 a KV. Nebo nespoléhat vůbec na Cloudflare infrastrukturu, jak ukazuje třetí sloupec.
Vizuální kopie WordPressu
{.alignnone}
emDash je skutečně vytvořen tak, jako by WordPressu z oka vypadnul. Což je samozřejmě dobře, protože pokud se pozicuje jako duchovní nástupce, měl by přechod být bezbolestný zejména z pohledu návyku. Proto v rozhraní najdeme mentální model Pages, Posts, Media, Tags, Categories. Také uživatelské role zůstaly zachovány jako Admin, Editor, Author, Contributor, Subscriber. Import dat z WordPress lze ručně přes .xml nebo stažením obsahu z WordPress URL. Samozřejmě je zde editor šablon i REST API. Ostatně k dispozici je demo instance, kde si vše můžete vyzkoušet.
Myšlenka dobrá, ale možná překonaná
Abychom situaci správně pochopili, Cloudflare provedl v oblasti pluginů dvě změny oproti WordPress. Za prvé musí mít každý plugin svůj manifest, ve kterém deklaruje požadovaná oprávnění. Z manifestu můžeme posoudit, jestli oprávnění požadované pluginem jsou přiměřené jeho funkcionalitě. Za druhé každý plugin běží v izolovaném prostředí, které zajišťuje, že pouze zdroje z požadovaných oprávnění jsou pluginy skutečně poskytnuty.
Jestli se kvůli tomu vyplatí uvažovat o přechodu z WordPressu na emDash je sporné, protože stejně jako Cloudflare použil armádu AI agentů, aby vytvořil emDash, i pluginy pro WordPress dnes píše AI. Nemusíme tedy spoléhat na pochybné pluginy pochybných vývojářů jako dříve. Většina pluginů se vejde do pár stovek řádků jednoho PHP souboru. Nic složitého. AI pro nás funkcionalitu napíše. Takže zůstává sandbox. Jenže pokud udržujeme svůj kód, nepotřebujeme izolované prostředí.
