EmDash 可能要让 WordPress 紧张一下了
69
平台新政&爆款打造及差异化布局攻略揭秘,手把手教你进军巴西>>>
4 月 1 号,愚人节。
我刷到一个 Cloudflare 的开源项目,叫 EmDash,版本号 0.1.0。
我以为是个愚人节玩具。
然后我上手玩了几个小时,越玩越不对劲。
先说我的判断起点。
我教 WordPress 建站好几年了。WordPress 对于外贸人来说,不是最好的技术选择,但一直是最安全的选择——这里的"安全"不是指网站安全,是指决策安全。
选 WordPress 不会错,因为它被无数人验证过了。
所以哪怕我知道 WordPress 有一堆毛病,我也从来不推荐学员去碰什么"下一代 CMS"。
那些东西看着先进,但用起来全是坑。
这几年冒出来的 headless CMS、JAMstack 方案,我都看过。Strapi、Ghost、Payload、Directus……每个都有亮点,每个都差点意思。
差在哪?差在一个外贸老板坐到电脑前,他搞不定。
EmDash 让我觉得不对劲的地方,不是某个单独的功能,是整体的完成度。
一个 0.1.0 的东西,它有:
完整的管理后台,拖拽式富文本编辑器 集合(Collection)、分类法(Taxonomy)、自定义字段——WordPress 要装 ACF 插件才有的东西,这里是内置的 媒体库,支持本地存储和 S3/R2 用户权限系统,4 个角色层级 内容版本控制、草稿、定时发布 种子文件系统——JSON 写好数据结构,一条命令初始化整个站 CLI 工具、插件系统、MCP 服务端 WordPress 迁移工具,Gutenberg 转 Portable Text
0.1.0。核心功能几乎覆盖了整个 WP。
我接触建站和技术,算算到现在快 12 年,这 12 年里我看过太多 0.1.0 了。大部分 0.1.0 连 CRUD 都没写完。这个 0.1.0 的功能清单比很多 3.0 都长。
但让我真正坐不住的不是功能列表,是安全设计。
WordPress 去年一年被发现了 7966 个漏洞。每天 22 个。96% 来自插件。
这不是 WordPress 核心团队的问题。这是架构的问题。
WordPress 的安全模型本质上是:一个 PHP 运行时,跑着几十个来路不同的第三方插件,共享同一个数据库,同一个文件系统权限。
任何一个插件出事,整个站就裸了。
去年 6 月 WordPress.org 发生过一次供应链攻击——5 个插件被直接篡改源码,植入后门,创建管理员账号,偷凭据。影响 35000 个站。攻击者至少在 3 月份就拿到了权限,6 月才被发现。
3 个月没人知道。
所以我教其他人用 WP,都是一个原则:能不用插件就不要用插件,10 个以内最好。
WP 本身是安全的,危险的是乱七八糟的插件,插件越多攻击面越大。
比如我自己的项目,基本就下面这几个插件:
有些还是我自制的,就是不想用太多插件
但是为了易用性,小白用户还真就不得不装一大堆插件。
两难。
再看 EmDash 怎么做的:
认证系统默认是 Passkey(WebAuthn),不是密码。没有密码就没有密码泄露,没有撞库,没有暴力破解。所有状态变更的 API 强制 CSRF 头校验。
SQL 层用 Kysely 参数化查询,项目规范里明确禁止 sql.raw() 拼接。输入全部过 Zod schema 验证。
错误信息脱敏,不向客户端暴露内部细节。插件在 Cloudflare Worker 沙箱里跑,隔离的。
EmDash 安全设计 — Passkey 认证、参数化查询、Zod 校验、沙箱隔离
说白了,WordPress 的安全是"先放开,再打补丁"。EmDash 的安全是"默认锁死,你要用再开"。
这是两代人的思维方式差距。
我忍不住拿它搭了个站。用我一个学员的真实业务场景——工业吸尘器 OEM/ODM 工厂。
我让 AI 帮我干的。从零开始:写种子数据、建集合、加字段、配分类法、写页面组件、搭路由。产品目录 6 个 SKU,案例展示 3 篇,分类筛选,详情页规格表,询盘表单。
整个过程大概一小时。
先不用管外观,在 AI 时代,UI 界面反而是最不值钱的。
再看看数据结构的定义,简洁到就下面几段。
EmDash 种子文件 — 一个 JSON 定义整个数据模型,一条命令初始化
对比一下 WordPress 实现同样的数据结构:
WordPress 要写 functions.php + 装 ACF + 写模板 + 注册分类法……
但这不是重点。
重点是 AI 在这个过程中几乎没卡过。
为什么?
因为 EmDash 整个项目就是按 AI 友好的方式设计的。它的 package.json 里写着"Agent-portable reimplementation of WordPress"——"Agent-portable"是关键词。
它有 MCP 服务端。种子文件是 JSON 声明式的。内容用 Portable Text 结构化存储。集合 schema 存在数据库里,不在代码里。
AI 写 WordPress 主题和 AI 写 EmDash 站点,体验完全是两个世界。WordPress 那坨 PHP + 全局函数 + hook 系统 + 模板层级,AI 写起来到处踩坑。
EmDash 全是 TypeScript,结构清晰,类型安全,AI 写完还能过 typecheck。
6 行代码拿到所有产品和分类 — 对比 WP_Query 的复杂度
在 vibe coding 时代,对 AI 友不友好,是基础设施级的竞争力。
说到这里你可能觉得我要推荐你去用 EmDash 了。
不是。
我碰壁的地方也很明显。
生态。
WordPress 有 60000 个插件。EmDash 有几个?我数了一下,官方的:AI 审核、表单、Webhook、AT Protocol、嵌入。5 个。
WordPress 你随便搜个问题,Stack Overflow 上 10 万个回答等着你。EmDash?GitHub 上 2 天前才公开,issues 都没几个。
你搜"EmDash CMS 教程",搜不到任何东西。
你让一个外贸老板——他可能连 FTP 都没听过——去用一个 0.1.0 的 TypeScript CMS?
不可能的事。
这就是现实。技术再好,没有生态就是空气。WordPress 烂归烂,但人家烂了 20 年,烂出了一个 42.5% 市占率的生态帝国。
EmDash 好归好,好在真空里。
而且别忘了,WordPress 也不是站着不动的。
WordPress 7.0 下周发布(4 月 9 号),核心里正式加入了 Web Client AI API 和 Abilities API——AI 从插件级别上升到了核心基础设施。
provider-agnostic 的设计,任何 AI 模型都能接入。Jetpack AI、Elementor AI、CodeWP 这些插件已经跑了一两年了。
WordCamp Asia 2026 的议程里,AI 是贯穿始终的主线:MCP 集成、AI Agent 自动化、AI 驱动开发工作流。WordPress 社区在拥抱 AI 这件事上,速度不慢。
《定位》里有个观点我一直记着:市场第一想要被颠覆,极难。因为用户心智中的位置一旦建立,后来者要付出 10 倍代价才能撼动。WordPress 在"建站 = WordPress"这个心智位置上,坐了 20 年。
这不是技术能解决的问题。这是认知惯性的问题。
但我为什么还是发了条朋友圈?
因为我看到了一个东西:趋势的方向。
WordPress 的市占率从去年 4 月的 43.5% 掉到现在的 42.5%。看起来只掉了 1 个点,但 WordPress 历史上从来没有连续 12 个月下降过。Wix 和 Shopify 在蚕食它的份额。
同时,WordPress 的维护成本在涨。managed hosting 一年 $570 起步。安全插件要钱。主题要续费。插件要续费。找人维护要钱。全加起来,一个小站一年几千美金很正常。
EmDash 跑在 Cloudflare Workers 上,D1 数据库、R2 存储。Workers 免费额度每天 10 万请求。D1 免费 5GB。R2 免费 10GB。
一个中小型 B2B 站,运营成本可以是零。
再加上安全那一整套,再加上 AI 兼容性。
你把这三条线画出来——成本、安全、AI 友好度——每一条都是朝着有利于新一代方案的方向走的。
所以我的判断是这样的:
短期内,EmDash 对 WordPress 没有任何威胁。零。
一个没有生态、没有社区、没有培训体系、连中文文档都没有的 0.1.0,不可能撼动一个 20 年的巨无霸。WordPress 7.0 马上发布,AI 能力进核心,生态只会更强。
但长期呢?
外贸人要的从来不是 WordPress。
外贸人要的是:我能自己管理内容,能做 SEO,能改页面,出了问题有人帮我解决,不会半夜被黑。
WordPress 刚好满足了这些需求,所以大家用它。不是因为爱它,是因为没得选。
如果有一天——注意我说的是"如果"——EmDash 的生态起来了,有中文社区了,有教程了,有现成的行业模板了,有人在帮你解决问题了。
那 WordPress 真的要紧张。
因为在功能、安全、成本、AI 兼容这四个维度上,它已经全面落后了。它唯一的护城河就是生态和心智定位。
而生态这个东西,起来慢,但一旦过了临界点,翻转也很快。想想 jQuery 到 React 花了多久。
我现在的策略:
课程继续教 WordPress。它依然是当下最务实的选择,这个判断没变。甚至对于外贸群体,WP 依然是未来 5 年最佳选择,没有之一。 但我会持续跟踪 EmDash 的发展。如果它在 6 个月内能做到:稳定的 1.0 发布、至少 200 个社区插件、一套靠谱的文档——我会认真考虑出一套教程。 如果你是技术底子还行的外贸人,现在就可以去 GitHub 上 star 一下,跑一下 demo,感受一下。不用急着切换生产环境,但要建立认知。
在变化真正发生之前建立认知,是成本最低的投资。
BTW,EmDash 这个项目的作者是 Matt Kane,Astro 核心维护者,之前在 Netlify 和 Gatsby 干过。不是草台班子。项目背后的技术审美和工程质量,我看了代码,是真的扎实。
至于它最终能不能成?不知道。好技术死在生态上的案例太多了。
但我宁愿现在就帮你盯着它,也不愿意等它火了再后知后觉。
4 月 1 号,愚人节。
我刷到一个 Cloudflare 的开源项目,叫 EmDash,版本号 0.1.0。
我以为是个愚人节玩具。
然后我上手玩了几个小时,越玩越不对劲。
先说我的判断起点。
我教 WordPress 建站好几年了。WordPress 对于外贸人来说,不是最好的技术选择,但一直是最安全的选择——这里的"安全"不是指网站安全,是指决策安全。
选 WordPress 不会错,因为它被无数人验证过了。
所以哪怕我知道 WordPress 有一堆毛病,我也从来不推荐学员去碰什么"下一代 CMS"。
那些东西看着先进,但用起来全是坑。
这几年冒出来的 headless CMS、JAMstack 方案,我都看过。Strapi、Ghost、Payload、Directus……每个都有亮点,每个都差点意思。
差在哪?差在一个外贸老板坐到电脑前,他搞不定。
EmDash 让我觉得不对劲的地方,不是某个单独的功能,是整体的完成度。
一个 0.1.0 的东西,它有:
完整的管理后台,拖拽式富文本编辑器 集合(Collection)、分类法(Taxonomy)、自定义字段——WordPress 要装 ACF 插件才有的东西,这里是内置的 媒体库,支持本地存储和 S3/R2 用户权限系统,4 个角色层级 内容版本控制、草稿、定时发布 种子文件系统——JSON 写好数据结构,一条命令初始化整个站 CLI 工具、插件系统、MCP 服务端 WordPress 迁移工具,Gutenberg 转 Portable Text
0.1.0。核心功能几乎覆盖了整个 WP。
我接触建站和技术,算算到现在快 12 年,这 12 年里我看过太多 0.1.0 了。大部分 0.1.0 连 CRUD 都没写完。这个 0.1.0 的功能清单比很多 3.0 都长。
但让我真正坐不住的不是功能列表,是安全设计。
WordPress 去年一年被发现了 7966 个漏洞。每天 22 个。96% 来自插件。
这不是 WordPress 核心团队的问题。这是架构的问题。
WordPress 的安全模型本质上是:一个 PHP 运行时,跑着几十个来路不同的第三方插件,共享同一个数据库,同一个文件系统权限。
任何一个插件出事,整个站就裸了。
去年 6 月 WordPress.org 发生过一次供应链攻击——5 个插件被直接篡改源码,植入后门,创建管理员账号,偷凭据。影响 35000 个站。攻击者至少在 3 月份就拿到了权限,6 月才被发现。
3 个月没人知道。
所以我教其他人用 WP,都是一个原则:能不用插件就不要用插件,10 个以内最好。
WP 本身是安全的,危险的是乱七八糟的插件,插件越多攻击面越大。
比如我自己的项目,基本就下面这几个插件:
有些还是我自制的,就是不想用太多插件
但是为了易用性,小白用户还真就不得不装一大堆插件。
两难。
再看 EmDash 怎么做的:
认证系统默认是 Passkey(WebAuthn),不是密码。没有密码就没有密码泄露,没有撞库,没有暴力破解。所有状态变更的 API 强制 CSRF 头校验。
SQL 层用 Kysely 参数化查询,项目规范里明确禁止 sql.raw() 拼接。输入全部过 Zod schema 验证。
错误信息脱敏,不向客户端暴露内部细节。插件在 Cloudflare Worker 沙箱里跑,隔离的。
EmDash 安全设计 — Passkey 认证、参数化查询、Zod 校验、沙箱隔离
说白了,WordPress 的安全是"先放开,再打补丁"。EmDash 的安全是"默认锁死,你要用再开"。
这是两代人的思维方式差距。
我忍不住拿它搭了个站。用我一个学员的真实业务场景——工业吸尘器 OEM/ODM 工厂。
我让 AI 帮我干的。从零开始:写种子数据、建集合、加字段、配分类法、写页面组件、搭路由。产品目录 6 个 SKU,案例展示 3 篇,分类筛选,详情页规格表,询盘表单。
整个过程大概一小时。
先不用管外观,在 AI 时代,UI 界面反而是最不值钱的。
再看看数据结构的定义,简洁到就下面几段。
EmDash 种子文件 — 一个 JSON 定义整个数据模型,一条命令初始化
对比一下 WordPress 实现同样的数据结构:
WordPress 要写 functions.php + 装 ACF + 写模板 + 注册分类法……
但这不是重点。
重点是 AI 在这个过程中几乎没卡过。
为什么?
因为 EmDash 整个项目就是按 AI 友好的方式设计的。它的 package.json 里写着"Agent-portable reimplementation of WordPress"——"Agent-portable"是关键词。
它有 MCP 服务端。种子文件是 JSON 声明式的。内容用 Portable Text 结构化存储。集合 schema 存在数据库里,不在代码里。
AI 写 WordPress 主题和 AI 写 EmDash 站点,体验完全是两个世界。WordPress 那坨 PHP + 全局函数 + hook 系统 + 模板层级,AI 写起来到处踩坑。
EmDash 全是 TypeScript,结构清晰,类型安全,AI 写完还能过 typecheck。
6 行代码拿到所有产品和分类 — 对比 WP_Query 的复杂度
在 vibe coding 时代,对 AI 友不友好,是基础设施级的竞争力。
说到这里你可能觉得我要推荐你去用 EmDash 了。
不是。
我碰壁的地方也很明显。
生态。
WordPress 有 60000 个插件。EmDash 有几个?我数了一下,官方的:AI 审核、表单、Webhook、AT Protocol、嵌入。5 个。
WordPress 你随便搜个问题,Stack Overflow 上 10 万个回答等着你。EmDash?GitHub 上 2 天前才公开,issues 都没几个。
你搜"EmDash CMS 教程",搜不到任何东西。
你让一个外贸老板——他可能连 FTP 都没听过——去用一个 0.1.0 的 TypeScript CMS?
不可能的事。
这就是现实。技术再好,没有生态就是空气。WordPress 烂归烂,但人家烂了 20 年,烂出了一个 42.5% 市占率的生态帝国。
EmDash 好归好,好在真空里。
而且别忘了,WordPress 也不是站着不动的。
WordPress 7.0 下周发布(4 月 9 号),核心里正式加入了 Web Client AI API 和 Abilities API——AI 从插件级别上升到了核心基础设施。
provider-agnostic 的设计,任何 AI 模型都能接入。Jetpack AI、Elementor AI、CodeWP 这些插件已经跑了一两年了。
WordCamp Asia 2026 的议程里,AI 是贯穿始终的主线:MCP 集成、AI Agent 自动化、AI 驱动开发工作流。WordPress 社区在拥抱 AI 这件事上,速度不慢。
《定位》里有个观点我一直记着:市场第一想要被颠覆,极难。因为用户心智中的位置一旦建立,后来者要付出 10 倍代价才能撼动。WordPress 在"建站 = WordPress"这个心智位置上,坐了 20 年。
这不是技术能解决的问题。这是认知惯性的问题。
但我为什么还是发了条朋友圈?
因为我看到了一个东西:趋势的方向。
WordPress 的市占率从去年 4 月的 43.5% 掉到现在的 42.5%。看起来只掉了 1 个点,但 WordPress 历史上从来没有连续 12 个月下降过。Wix 和 Shopify 在蚕食它的份额。
同时,WordPress 的维护成本在涨。managed hosting 一年 $570 起步。安全插件要钱。主题要续费。插件要续费。找人维护要钱。全加起来,一个小站一年几千美金很正常。
EmDash 跑在 Cloudflare Workers 上,D1 数据库、R2 存储。Workers 免费额度每天 10 万请求。D1 免费 5GB。R2 免费 10GB。
一个中小型 B2B 站,运营成本可以是零。
再加上安全那一整套,再加上 AI 兼容性。
你把这三条线画出来——成本、安全、AI 友好度——每一条都是朝着有利于新一代方案的方向走的。
所以我的判断是这样的:
短期内,EmDash 对 WordPress 没有任何威胁。零。
一个没有生态、没有社区、没有培训体系、连中文文档都没有的 0.1.0,不可能撼动一个 20 年的巨无霸。WordPress 7.0 马上发布,AI 能力进核心,生态只会更强。
但长期呢?
外贸人要的从来不是 WordPress。
外贸人要的是:我能自己管理内容,能做 SEO,能改页面,出了问题有人帮我解决,不会半夜被黑。
WordPress 刚好满足了这些需求,所以大家用它。不是因为爱它,是因为没得选。
如果有一天——注意我说的是"如果"——EmDash 的生态起来了,有中文社区了,有教程了,有现成的行业模板了,有人在帮你解决问题了。
那 WordPress 真的要紧张。
因为在功能、安全、成本、AI 兼容这四个维度上,它已经全面落后了。它唯一的护城河就是生态和心智定位。
而生态这个东西,起来慢,但一旦过了临界点,翻转也很快。想想 jQuery 到 React 花了多久。
我现在的策略:
课程继续教 WordPress。它依然是当下最务实的选择,这个判断没变。甚至对于外贸群体,WP 依然是未来 5 年最佳选择,没有之一。 但我会持续跟踪 EmDash 的发展。如果它在 6 个月内能做到:稳定的 1.0 发布、至少 200 个社区插件、一套靠谱的文档——我会认真考虑出一套教程。 如果你是技术底子还行的外贸人,现在就可以去 GitHub 上 star 一下,跑一下 demo,感受一下。不用急着切换生产环境,但要建立认知。
在变化真正发生之前建立认知,是成本最低的投资。
BTW,EmDash 这个项目的作者是 Matt Kane,Astro 核心维护者,之前在 Netlify 和 Gatsby 干过。不是草台班子。项目背后的技术审美和工程质量,我看了代码,是真的扎实。
至于它最终能不能成?不知道。好技术死在生态上的案例太多了。
但我宁愿现在就帮你盯着它,也不愿意等它火了再后知后觉。
热门活动 
其他
04-16 周四
热门报告 
