EmDash vs WordPress: is dit de opvolger van het populairste CMS ter wereld?

WordPress draait op meer dan 43% van alle websites ter wereld. Het is een indrukwekkend marktaandeel voor een platform dat al meer dan twintig jaar bestaat. Maar datzelfde succes heeft een keerzijde: verouderde architectuur, een falend beveiligingsmodel en prestaties die niet meekomen met de verwachtingen van 2026. EmDash — een nieuw open source CMS van Cloudflare — wil dat veranderen. Wij onderzochten wat EmDash precies is, wat het beter doet dan WordPress, en voor wie het interessant is.

Wat is EmDash?

EmDash is een volledig in TypeScript geschreven content management systeem, gebouwd op Astro 6.0 en ontworpen voor serverless infrastructuur via Cloudflare Workers. Het project omschrijft zichzelf als "de spirituele opvolger van WordPress" — een CMS dat dezelfde doelgroep bedient, maar met een architectuur die past bij het huidige web.

EmDash is open source (MIT-licentie) en beschikbaar via GitHub. Installeren gaat zo simpel als:

Het platform ondersteunt meerdere databases (SQLite, PostgreSQL, Cloudflare D1, Turso), is S3-compatibel voor bestandsopslag en draait — anders dan WordPress — zonder traditionele PHP-server. Momenteel bevindt EmDash zich in een beta preview, wat betekent dat het nog niet productie-rijp is voor alle use cases.

Het grote WordPress-probleem: plugins

WordPress heeft een fundamenteel beveiligingsprobleem dat al twintig jaar bestaat en nooit echt is opgelost: plugins hebben onbeperkte toegang tot de database en het bestandssysteem. Dat klinkt technisch, maar de gevolgen zijn ingrijpend. Elke plugin die je installeert, kan in theorie alles lezen, schrijven of verwijderen — inclusief wachtwoorden, klantgegevens en de volledige website-inhoud.

WordPress telt meer dan 60.000 plugins in de officiële repository. De kwaliteit verschilt enorm: sommige worden actief onderhouden, andere zijn al jaren niet geüpdatet. Een enkel lek in één plugin is voldoende om een complete website over te nemen. Dit probleem is niet op te lossen met betere code-reviews of strengere goedkeuringsprocessen — het is een architectuurprobleem.

Hoe EmDash het plugin-probleem oplost

EmDash hanteert een fundamenteel ander model: elke plugin draait in een geïsoleerde sandbox, een zogenoemde Dynamic Worker. Een plugin krijgt uitsluitend toegang tot de functionaliteit die hij zelf expliciet aanvraagt via een capability manifest. Dit werkt vergelijkbaar met de permissies die apps op je telefoon aanvragen.

Stel: je installeert een plugin die na het publiceren van content een e-mail verstuurt. Die plugin declareert exact twee rechten: read:content en email:send. Meer heeft hij niet nodig, en meer krijgt hij ook niet. De plugin kan de database niet uitlezen, geen bestanden verwijderen en geen gebruikersgegevens stelen — ongeacht wat er in de code staat.

• Transparantie: je ziet precies welke rechten een plugin aanvraagt vóór installatie
• Isolatie: een gecompromitteerde plugin kan de rest van de site niet bereiken
• Geen GPL-verplichting: de MIT-licentie maakt het mogelijk om plugins onder een eigen licentie uit te brengen
• Marketplace-onafhankelijkheid: geen lock-in in een platform-eigen plugin store

EmDash vs WordPress: een eerlijke vergelijking

Prestaties: serverless vs traditionele hosting

WordPress is gebouwd op een model dat draait om server-provisioning: je huurt of koopt een server, configureert die, installeert WordPress en zorgt dat er voldoende capaciteit is voor piekverkeer. Dat model werkt, maar het is inefficiënt. Je betaalt voor capaciteit die je meestal niet gebruikt, en bij onverwacht verkeer loopt de server alsnog vast.

EmDash draait op v8-isolates via Cloudflare Workers. Dit zijn ultrasnelle, lichtgewicht runtime-omgevingen die in milliseconden opstarten en automatisch schalen. Er is geen server om te beheren, geen capaciteitsplanning en geen maandelijkse hostingfactuur die meegroeit met je succes. Je betaalt precies voor het CPU-gebruik dat je daadwerkelijk verbruikt.

Voor WordPress zijn caching-plugins, CDN-configuraties en server-tuning nodig om vergelijkbare prestaties te bereiken. EmDash bouwt dit principe direct in de architectuur in — er is geen aparte caching-laag nodig omdat de rendering zo dicht mogelijk bij de eindgebruiker plaatsvindt.

Content model: Portable Text vs HTML-blobs

Een minder zichtbaar maar technisch belangrijk verschil is hoe de twee systemen content opslaan. WordPress bewaart content als HTML-blobs in een MySQL-database. Dat werkt prima zolang je content uitsluitend op een website publiceert. Maar zodra je dezelfde content ook wilt tonen in een mobiele app, een e-mailnieuwsbrief, een chatbot of via een API, loop je tegen problemen aan: de HTML-markup zit vast aan de presentatielaag.

EmDash gebruikt Portable Text — een gestructureerd JSON-formaat dat content volledig losgekoppeld van presentatie opslaat. Dezelfde blogpost kan daarmee probleemloos worden weergegeven op een website, in een mobiele app, via een API-endpoint of als input voor een AI-model. Dit is het principe achter headless CMS-oplossingen, nu rechtstreeks ingebakken in EmDash.

Authenticatie: passkeys als standaard

WordPress gebruikt wachtwoorden als standaard authenticatiemethode. Wachtwoorden zijn het zwakste punt in elke beveiliging: ze worden hergebruikt, gestolen via phishing en gekraakt via brute-force aanvallen. Twee-factor-authenticatie is bij WordPress een optie, maar geen standaard.

EmDash zet passkeys (WebAuthn) als standaard authenticatiemethode. Passkeys zijn cryptografische sleutelparen die gebonden zijn aan je apparaat. Er is geen wachtwoord om te stelen, geen database met hashes om te kraken en geen phishing-aanval mogelijk die om een wachtwoord vraagt. OAuth en magic links zijn beschikbaar als alternatief. Rollen en rechten (beheerder, redacteur, auteur, bijdrager) werken op dezelfde manier als in WordPress.

AI-natief ontwerp: MCP-server ingebouwd

EmDash is van de grond af ontworpen met AI-integratie in gedachten. Het platform heeft een ingebouwde MCP-server (Model Context Protocol) waarmee AI-assistenten zoals Claude of ChatGPT direct met je CMS kunnen communiceren. Dit maakt het mogelijk om via een chatinterface content te schrijven, te publiceren, taxonomieën te beheren en plugins te configureren — zonder in de admin-interface te hoeven klikken.

Daarnaast biedt EmDash een CLI-tool voor programmatisch beheer van lokale en remote instanties, en zijn er zogeheten Agent Skills: begeleiding voor AI-modellen bij het bouwen van plugins en thema's op basis van de EmDash-architectuur. WordPress heeft vergelijkbare functionaliteit alleen via externe plugins, die elk hun eigen beveiligingsrisico's meebrengen.

Ingebouwde monetisatie met x402

EmDash heeft native ondersteuning voor x402, een open betalingsstandaard waarmee contentmakers direct betalingen kunnen vragen voor toegang tot artikelen, video's of downloadbare bestanden. Geen derde partij, geen abonnementsplatform, geen complexe integratie: je configureert een prijs en een wallet-adres, en EmDash regelt de rest.

In WordPress vereist vergelijkbare functionaliteit een plugin zoals MemberPress of Restrict Content Pro — beide betaald, beide met hun eigen beveiligingsprofiel, en beide afhankelijk van een externe betalingsprovider.

Migreren van WordPress naar EmDash

EmDash ondersteunt migratie via WXR-exports — het standaard WordPress export-formaat. Je exporteert je bestaande WordPress-site als XML en importeert dat in EmDash via de admin-interface. Custom post types worden automatisch omgezet naar EmDash-collecties. Er is ook een officiële EmDash Exporter-plugin voor WordPress die een beveiligd, authenticatie-beschermd eindpunt aanmaakt voor directe migratie.

Wanneer kies je voor EmDash?

• Je wilt maximale beveiliging zonder afhankelijk te zijn van de kwaliteit van plugin-ontwikkelaars
• Je werkt met TypeScript en wilt een CMS dat aansluit bij je bestaande tech stack
• Je publiceert content op meerdere kanalen (web, app, API) en wilt niet dubbel beheren
• Je wilt serverless hosting zonder server-provisioning of capaciteitsplanning
• Je bent een early adopter die klaar is om met beta-software te werken en bij te dragen aan een jong project
• Je wilt AI direct in je CMS via een ingebouwde MCP-server zonder extra integraties

Wanneer blijf je beter bij WordPress?

• Je hebt een bestaande WordPress-site met veel maatwerk-plugins waarvoor geen EmDash-equivalent bestaat
• Je hebt een niet-technisch team dat vertrouwd is met de WordPress-omgeving en geen nieuwe tools wil leren
• Je hebt stabiele, productie-rijpe software nodig — EmDash is nog in beta en geschikt voor experimenteerders, niet voor kritische bedrijfssites
• Je WooCommerce-webshop draait goed — WooCommerce heeft geen directe equivalent in EmDash
• Je budget voor hosting is beperkt — Cloudflare Dynamic Workers (nodig voor plugin-sandboxing) vereist een betaald account vanaf $5/maand

Conclusie: veelbelovend, maar nog niet voor iedereen

EmDash lost reële problemen op die WordPress al decennia met zich meedraagt. Het plugin-beveiligingsmodel is architectureel superieur, de serverless opzet elimineert hosting-complexiteit en het Portable Text-contentmodel maakt content toekomstbestending. De ingebouwde AI-integratie via MCP is een blik op hoe CMS-beheer er over vijf jaar uit zal zien.

Tegelijkertijd is EmDash vandaag nog beta-software. Het ecosysteem van plugins en thema's is minuscuul vergeleken met WordPress, de documentatie is beperkt en het platform vereist technische kennis om te configureren. Voor productiesites die morgen live moeten, is het nog te vroeg. Voor ontwikkelaars die vooruit willen lopen op de volgende generatie CMS-architectuur, is het een project om serieus in de gaten te houden.