EmDash 可能要让 WordPress 紧张一下了

4 月 1 号，愚人节。

我刷到一个 Cloudflare 的开源项目，叫 EmDash，版本号 0.1.0。

我以为是个愚人节玩具。

然后我上手玩了几个小时，越玩越不对劲。

先说我的判断起点。

我教 WordPress 建站好几年了。WordPress 对于外贸人来说，不是最好的技术选择，但一直是最安全的选择——这里的"安全"不是指网站安全，是指决策安全。

选 WordPress 不会错，因为它被无数人验证过了。

所以哪怕我知道 WordPress 有一堆毛病，我也从来不推荐学员去碰什么"下一代 CMS"。

那些东西看着先进，但用起来全是坑。

这几年冒出来的 headless CMS、JAMstack 方案，我都看过。Strapi、Ghost、Payload、Directus……每个都有亮点，每个都差点意思。

差在哪？差在一个外贸老板坐到电脑前，他搞不定。

EmDash 让我觉得不对劲的地方，不是某个单独的功能，是整体的完成度。

一个 0.1.0 的东西，它有：

• 完整的管理后台，拖拽式富文本编辑器
• 集合（Collection）、分类法（Taxonomy）、自定义字段——WordPress 要装 ACF 插件才有的东西，这里是内置的
• 媒体库，支持本地存储和 S3/R2
• 用户权限系统，4 个角色层级
• 内容版本控制、草稿、定时发布
• 种子文件系统——JSON 写好数据结构，一条命令初始化整个站
• CLI 工具、插件系统、MCP 服务端
• WordPress 迁移工具，Gutenberg 转 Portable Text

0.1.0。核心功能几乎覆盖了整个 WP。

我接触建站和技术，算算到现在快 12 年，这 12 年里我看过太多 0.1.0 了。大部分 0.1.0 连 CRUD 都没写完。这个 0.1.0 的功能清单比很多 3.0 都长。

但让我真正坐不住的不是功能列表，是安全设计。

WordPress 去年一年被发现了 7966 个漏洞。每天 22 个。96% 来自插件。

这不是 WordPress 核心团队的问题。这是架构的问题。

WordPress 的安全模型本质上是：一个 PHP 运行时，跑着几十个来路不同的第三方插件，共享同一个数据库，同一个文件系统权限。

任何一个插件出事，整个站就裸了。

去年 6 月 WordPress.org 发生过一次供应链攻击——5 个插件被直接篡改源码，植入后门，创建管理员账号，偷凭据。影响 35000 个站。攻击者至少在 3 月份就拿到了权限，6 月才被发现。

3 个月没人知道。

所以我教其他人用 WP，都是一个原则：能不用插件就不要用插件，10 个以内最好。

WP 本身是安全的，危险的是乱七八糟的插件，插件越多攻击面越大。

比如我自己的项目，基本就下面这几个插件：

有些还是我自制的，就是不想用太多插件

但是为了易用性，小白用户还真就不得不装一大堆插件。

两难。

再看 EmDash 怎么做的：

认证系统默认是 Passkey（WebAuthn），不是密码。没有密码就没有密码泄露，没有撞库，没有暴力破解。所有状态变更的 API 强制 CSRF 头校验。

SQL 层用 Kysely 参数化查询，项目规范里明确禁止 sql.raw() 拼接。输入全部过 Zod schema 验证。

错误信息脱敏，不向客户端暴露内部细节。插件在 Cloudflare Worker 沙箱里跑，隔离的。

EmDash 安全设计 — Passkey 认证、参数化查询、Zod 校验、沙箱隔离

说白了，WordPress 的安全是"先放开，再打补丁"。EmDash 的安全是"默认锁死，你要用再开"。

这是两代人的思维方式差距。

我忍不住拿它搭了个站。用我一个学员的真实业务场景——工业吸尘器 OEM/ODM 工厂。

我让 AI 帮我干的。从零开始：写种子数据、建集合、加字段、配分类法、写页面组件、搭路由。产品目录 6 个 SKU，案例展示 3 篇，分类筛选，详情页规格表，询盘表单。

整个过程大概一小时。

先不用管外观，在 AI 时代，UI 界面反而是最不值钱的。

再看看数据结构的定义，简洁到就下面几段。

EmDash 种子文件 — 一个 JSON 定义整个数据模型，一条命令初始化

对比一下 WordPress 实现同样的数据结构：

WordPress 要写 functions.php + 装 ACF + 写模板 + 注册分类法……

但这不是重点。

重点是 AI 在这个过程中几乎没卡过。

为什么？

因为 EmDash 整个项目就是按 AI 友好的方式设计的。它的 package.json 里写着"Agent-portable reimplementation of WordPress"——"Agent-portable"是关键词。

它有 MCP 服务端。种子文件是 JSON 声明式的。内容用 Portable Text 结构化存储。集合 schema 存在数据库里，不在代码里。

AI 写 WordPress 主题和 AI 写 EmDash 站点，体验完全是两个世界。WordPress 那坨 PHP + 全局函数 + hook 系统 + 模板层级，AI 写起来到处踩坑。

EmDash 全是 TypeScript，结构清晰，类型安全，AI 写完还能过 typecheck。

6 行代码拿到所有产品和分类 — 对比 WP_Query 的复杂度

在 vibe coding 时代，对 AI 友不友好，是基础设施级的竞争力。

说到这里你可能觉得我要推荐你去用 EmDash 了。

不是。

我碰壁的地方也很明显。

生态。

WordPress 有 60000 个插件。EmDash 有几个？我数了一下，官方的：AI 审核、表单、Webhook、AT Protocol、嵌入。5 个。

WordPress 你随便搜个问题，Stack Overflow 上 10 万个回答等着你。EmDash？GitHub 上 2 天前才公开，issues 都没几个。

你搜"EmDash CMS 教程"，搜不到任何东西。

你让一个外贸老板——他可能连 FTP 都没听过——去用一个 0.1.0 的 TypeScript CMS？

不可能的事。

这就是现实。技术再好，没有生态就是空气。WordPress 烂归烂，但人家烂了 20 年，烂出了一个 42.5% 市占率的生态帝国。

EmDash 好归好，好在真空里。

而且别忘了，WordPress 也不是站着不动的。

WordPress 7.0 下周发布（4 月 9 号），核心里正式加入了 Web Client AI API 和 Abilities API——AI 从插件级别上升到了核心基础设施。

provider-agnostic 的设计，任何 AI 模型都能接入。Jetpack AI、Elementor AI、CodeWP 这些插件已经跑了一两年了。

WordCamp Asia 2026 的议程里，AI 是贯穿始终的主线：MCP 集成、AI Agent 自动化、AI 驱动开发工作流。WordPress 社区在拥抱 AI 这件事上，速度不慢。

《定位》里有个观点我一直记着：市场第一想要被颠覆，极难。因为用户心智中的位置一旦建立，后来者要付出 10 倍代价才能撼动。WordPress 在"建站 = WordPress"这个心智位置上，坐了 20 年。

这不是技术能解决的问题。这是认知惯性的问题。

但我为什么还是发了条朋友圈？

因为我看到了一个东西：趋势的方向。

WordPress 的市占率从去年 4 月的 43.5% 掉到现在的 42.5%。看起来只掉了 1 个点，但 WordPress 历史上从来没有连续 12 个月下降过。Wix 和 Shopify 在蚕食它的份额。

同时，WordPress 的维护成本在涨。managed hosting 一年 $570 起步。安全插件要钱。主题要续费。插件要续费。找人维护要钱。全加起来，一个小站一年几千美金很正常。

EmDash 跑在 Cloudflare Workers 上，D1 数据库、R2 存储。Workers 免费额度每天 10 万请求。D1 免费 5GB。R2 免费 10GB。

一个中小型 B2B 站，运营成本可以是零。

再加上安全那一整套，再加上 AI 兼容性。

你把这三条线画出来——成本、安全、AI 友好度——每一条都是朝着有利于新一代方案的方向走的。

所以我的判断是这样的：

短期内，EmDash 对 WordPress 没有任何威胁。零。

一个没有生态、没有社区、没有培训体系、连中文文档都没有的 0.1.0，不可能撼动一个 20 年的巨无霸。WordPress 7.0 马上发布，AI 能力进核心，生态只会更强。

但长期呢？

外贸人要的从来不是 WordPress。

外贸人要的是：我能自己管理内容，能做 SEO，能改页面，出了问题有人帮我解决，不会半夜被黑。

WordPress 刚好满足了这些需求，所以大家用它。不是因为爱它，是因为没得选。

如果有一天——注意我说的是"如果"——EmDash 的生态起来了，有中文社区了，有教程了，有现成的行业模板了，有人在帮你解决问题了。

那 WordPress 真的要紧张。

因为在功能、安全、成本、AI 兼容这四个维度上，它已经全面落后了。它唯一的护城河就是生态和心智定位。

而生态这个东西，起来慢，但一旦过了临界点，翻转也很快。想想 jQuery 到 React 花了多久。

我现在的策略：

1. 课程继续教 WordPress。它依然是当下最务实的选择，这个判断没变。甚至对于外贸群体，WP 依然是未来 5 年最佳选择，没有之一。
2. 但我会持续跟踪 EmDash 的发展。如果它在 6 个月内能做到：稳定的 1.0 发布、至少 200 个社区插件、一套靠谱的文档——我会认真考虑出一套教程。
3. 如果你是技术底子还行的外贸人，现在就可以去 GitHub 上 star 一下，跑一下 demo，感受一下。不用急着切换生产环境，但要建立认知。

在变化真正发生之前建立认知，是成本最低的投资。

BTW，EmDash 这个项目的作者是 Matt Kane，Astro 核心维护者，之前在 Netlify 和 Gatsby 干过。不是草台班子。项目背后的技术审美和工程质量，我看了代码，是真的扎实。

至于它最终能不能成？不知道。好技术死在生态上的案例太多了。

但我宁愿现在就帮你盯着它，也不愿意等它火了再后知后觉。