WP Umbrella Logo

EmDash CMS: Was Agenturen über das CMS von Cloudflare wissen sollten

Aurelio Volle
-

Am 1. April 2026 veröffentlichte Cloudflare EmDash v0.1.0. Unter MIT-Lizenz. TypeScript und Astro. Wird selbst als „geistiger Nachfolger von WordPress“ bezeichnet.

Wenn Sie WordPress-Seiten für Kunden verwalten – egal, ob es sich um 20 oder 200 Seiten handelt –, ist Ihnen diese Meldung innerhalb weniger Stunden in Ihrem Feed aufgefallen. Ihre erste Reaktion lag wahrscheinlich irgendwo zwischen einem Seufzer und einer Frage: Was bedeutet das für meine Wartungsverträge, meine Betreuungsangebote und das Geschäft, das ich mir über Jahre hinweg auf WordPress aufgebaut habe?

Den Begriff „WordPress-Killer“ haben Sie sicher schon einmal gehört.

Ghost startete 2013 mit großem Hype und einer Kickstarter-Kampagne, die alle Rekorde brach. Heute hält Ghost einen Marktanteil von 0,1 % im CMS-Bereich.

Webflow, der Liebling der Design-Community: 1,2 %. Squarespace: 2,4 %. Wix, gestützt durch Milliarden an Kapital aus dem öffentlichen Markt: 4,1 %. Keiner erreichte die 5-Prozent-Marke.

Während diese Konkurrenten auf den Markt kamen, wuchsen und schließlich stagnierten, stieg der Anteil von WordPress an allen Websites im Internet von 21 % auf 43,4 %.

Die „Killer“-Erzählung hat eine schlechte Erfolgsbilanz.

Die beeindruckende Erfolgsbilanz von WordPress

Der Drang, EmDash abzutun, ist verständlich, aber Cloudflare ist kein Start-up mit Startkapital und einer Präsentation.

Cloudflare ist ein Infrastrukturunternehmen mit einem Umsatz von 2,17 Milliarden US-Dollar, das bereits einen erheblichen Teil des Internetverkehrs von seinen Ursprungsservern trennt, darunter eine große Anzahl von WordPress-Seiten, die hinter seinem Proxy betrieben werden.

Frühere „WordPress-Konkurrenten“ waren Produkte auf Anwendungsebene, die nacheinander um Nutzer konkurrierten. Cloudflare agiert auf Netzwerkebene und verfügt über einen bestehenden Vertriebskanal, bestehende Beziehungen zu Entwicklern sowie umfangreiche Kapitalreserven.

Wenn Cloudflare also in einen Markt eintritt, ist die Infrastruktur bereits vorhanden.

Dieser Unterschied ist entscheidend. Cloudflares EmDash muss Website-Betreiber nicht davon überzeugen, eine neue Infrastruktur einzuführen. EmDash muss sie vielmehr davon überzeugen, die Infrastruktur, für die sie bereits bezahlen, auf eine andere Art und Weise zu nutzen.

Cloudflare verfolgt ein bewährtes Muster: Das Unternehmen dringt mit einem kostenlosen oder kostengünstigen Angebot in einen Markt ein, erreicht durch seinen bestehenden Kundenstamm eine gewisse Größe und baut dann seine Monetarisierung aus.

Cloudflare hat dies mit Workers umgesetzt.

Das hat es mit R2 erneut getan (wo die Egress-Gebühren abgeschafft wurden, um S3 zu unterbieten), und EmDash folgt dem gleichen Schema.

Der Vertriebsvorteil ist real, auch wenn der Ausgang ungewiss ist. Cloudflare muss nicht von Tür zu Tür gehen, um Agenturen davon zu überzeugen, ein neues CMS auszuprobieren. Das Unternehmen unterhält bereits Beziehungen zu den Entwicklern, die diese Websites erstellen und verwalten.

Jede WordPress-Website, die über das CDN von Cloudflare läuft, ist ein potenzielles Ziel für die Umstellung auf EmDash. Kein bisheriger „WordPress-Killer“ verfügte über einen solchen bereits bestehenden Vertriebskanal, der genau die Zielgruppe anspricht, die er erreichen musste.

Was ein Gedankenstrich eigentlich ist (und was nicht)

EmDash ist ein auf TypeScript basierendes, serverloses CMS, das auf Astro 6.0 aufbaut und für den nativen Betrieb auf der Edge-Infrastruktur von Cloudflare entwickelt wurde.

Es handelt sich weder um einen WordPress-Fork noch um einen direkten Ersatz. Es ist eine von Grund auf neu entwickelte Version eines Content-Management-Systems, das speziell für serverloses Edge-Computing konzipiert wurde und nicht für das herkömmliche LAMP-Stack-Hosting.

Der Tech-Stack

Astro 6.0 belegte in der jüngsten „State of JS“-Umfrage den ersten Platz bei der Entwicklerzufriedenheit und verzeichnet wöchentlich 900.000 Downloads über npm.

Cloudflare übernahm Astro im Januar 2026, wodurch das EmDash-Projekt die direkte Kontrolle über sein grundlegendes Framework sowie eine integrierte Entwickler-Community erhielt.

EmDash läuft nativ auf Cloudflare Workers (serverloses Edge-Computing) und nutzt drei Cloudflare-Speicherfunktionen: D1 (eine auf SQLite basierende verteilte Datenbank), R2 (S3-kompatibler Objektspeicher) und KV (ein globaler Schlüssel-Wert-Speicher). Es müssen keine herkömmlichen Server bereitgestellt, aktualisiert oder skaliert werden.

Das Hauptmerkmal ist die Ausführung von Plugins in einer Sandbox über Isolates. Jedes Plugin läuft in einer eigenen Umgebung über die Dynamic Workers von Cloudflare. Ein kompromittiertes oder bösartiges Plugin kann nicht auf die Datenbank, das Dateisystem oder den Speicher anderer Plugins oder des CMS-Kerns zugreifen.

WordPress nutzt ein PHP-Modell mit gemeinsamem Prozess, bei dem jedes Plugin im selben Prozess läuft und uneingeschränkten Zugriff auf die Datenbank und das Dateisystem hat. Ein anfälliges Kontaktformular-Plugin kann so zum Einfallstor für einen Angriff auf die gesamte Website werden.

Das Isolationsmodell von EmDash eliminiert diese gesamte Angriffsfläche von Grund auf. Für jeden, der schon einmal mit einem Website-Hack zu tun hatte, der auf ein einziges veraltetes Plugin zurückgeführt werden konnte, liegt der Reiz auf der Hand.

Auch im Bereich der Authentifizierung ist EmDash führend. Die Passkey-Unterstützung ist standardmäßig integriert. Kein Plugin. Kein Add-on. Der Standard.

69 % der Verbraucher haben mittlerweile Passkeys eingerichtet. Passkeys erzielen eine Anmeldeerfolgsrate von 93 %, verglichen mit 63 % bei herkömmlichen Passwörtern, doch WordPress verwendet standardmäßig weiterhin Benutzername und Passwort, wobei die Unterstützung für Passkeys nur über Plugins verfügbar ist.

EmDash ist das erste CMS, das darauf ausgelegt ist, KI-Agenten als vollwertige Nutzer zu behandeln, anstatt sich ausschließlich auf Schnittstellen für Menschen zu konzentrieren. Es umfasst „Agent Skills“ (strukturierte Dokumentationen, die KI-Modellen beibringen, Themes und Plugins zu erstellen), eine Befehlszeilenschnittstelle (CLI) mit JSON-Ausgabe für die programmgesteuerte Interaktion sowie einen integrierten MCP-Server. Die gesamte Entwicklerumgebung ist von Grund auf so konzipiert, dass sie maschinenlesbar ist.

Joost de Valk, der Entwickler von Yoast SEO und eine der einflussreichsten Persönlichkeiten in der Geschichte von WordPress, hat den Workflow getestet und EmDash als „das Interessanteste im Bereich Content-Management seit Jahren“ bezeichnet. Er plant, darauf aufzubauen, doch sein jüngster Konflikt mit dem Gründer von WordPress im Zusammenhang mit der FAIR-Paket-Initiative lässt diese Aussage weniger überzeugend erscheinen.

EmDash wurde ebenfalls parallel zum x402-Zahlungsprotokoll eingeführt, das von Stripe, Visa, Mastercard, Google, AWS und Microsoft als Gründungsmitglieder unterstützt wird. Das Protokoll ermöglicht Mikrozahlungen an KI-Agenten zu weniger als 0,001 US-Dollar pro Transaktion. Derzeit noch spekulativ, doch die Liste der Gründungsmitglieder deutet auf ein ernsthaftes institutionelles Engagement hin.

89 Commits auf GitHub und 6,8 Tausend Sterne in zwei Monaten KI-gestützter Entwicklung. Das zeugt von beeindruckender Geschwindigkeit und großem Interesse seitens der Entwickler bereits in der Anfangsphase. Und von berechtigten Bedenken hinsichtlich der Reife.

Zwei Monate KI-gestützte Entwicklung im Vergleich zu 22 Jahren WordPress-Optimierung, Sicherheitspatches und realitätsnahen Belastungstests auf Hunderten von Millionen von Installationen. Entwicklungsgeschwindigkeit und die Tiefe der Praxiserprobung sind unterschiedliche Eigenschaften. EmDash bietet Ersteres. WordPress bietet Letzteres. Agenturen brauchen beides.

WordPress vs. EmDash

Die Realität der Anbieterabhängigkeit

Sollten Agenturen sich Sorgen wegen einer Anbieterabhängigkeit bei EmDash machen?

Ja. Die besten Funktionen von EmDash funktionieren nur auf der Cloudflare-Infrastruktur, sodass eine echte Plattformunabhängigkeit zum jetzigen Zeitpunkt nicht möglich ist.

Die Plugin-Sandbox-Funktion von EmDash basiert auf dem Isolate-Modell von Cloudflare Workers. D1, R2 und KV sind proprietäre Dienste von Cloudflare. D1 lässt sich nicht auf AWS ausführen. R2-Buckets können nicht auf Azure migriert werden, ohne die Speicherschicht neu zu programmieren.

Bei Hosting-Anbietern, die nicht Cloudflare nutzen, greift EmDash auf SQLite und den lokalen Dateispeicher zurück, und die Sandbox-Funktion entfällt vollständig. Der CMS-Code steht unter der MIT-Lizenz und ist vollständig Open Source. Die Laufzeitumgebung, die die charakteristischen Funktionen ermöglicht, ist dies jedoch nicht.

Code unter MIT-Lizenz mit einer proprietären Laufzeitumgebung ist etwas anderes als echte Portabilität. Matt Mullenweg hat es auf den Punkt gebracht: EmDash „macht es einem schwer, jemals den Anbieter zu wechseln.“

Wenn ein Kunde die Preisgestaltung von Cloudflare übersteigt, eine Compliance-Anforderung erfüllt, die ein Hosting vor Ort vorschreibt, oder einfach nur seine Anbieter konsolidieren möchte, entfallen bei der Migration die Sandboxing-Funktion, die verteilte Datenbank und die Edge-native Leistung. Sie würden EmDash dann ohne die Funktionen nutzen, die für die Wahl von EmDash ausschlaggebend sind.

Agenturen, die ein Jahrzehnt lang hostingunabhängige WordPress-Workflows entwickelt haben, sollten genau wissen, was sie hier bewerten.

EmDash leitet Nutzer zu mehr als fünf abrechnungsfähigen Cloudflare-Produkten weiter: Workers (Rechenleistung), D1 (Datenbank), R2 (Speicher), KV (Schlüssel-Wert) und Workers AI. Jede EmDash-Website ist ein Cloudflare-Kunde, der wiederkehrende Umsätze aus Rechenleistung und Speicher generiert, die mit dem Datenverkehr skalieren.

Mullenweg erklärte, EmDash sei „geschaffen worden, um mehr Cloudflare-Dienste zu verkaufen“. Seine Glaubwürdigkeit in dieser Frage ist fragwürdig (mehr dazu weiter unten), doch die strukturelle Analyse trifft unabhängig von der Quelle zu. Das Geschäftsmodell von Cloudflare ist gut dokumentiert: kostenloser Einstieg, Monetarisierung über die Infrastruktur.

Das Unternehmen erzielte im Jahr 2025 einen Umsatz von 2,17 Milliarden US-Dollar und strebt bis 2028 einen Umsatz von 5 Milliarden US-Dollar an. Der größte Auftrag von Cloudflare belief sich auf über 100 Millionen US-Dollar, was vor allem auf die zunehmende Nutzung von Workers zurückzuführen ist.

Der Gedankenstrich entspricht genau diesem Muster.

Das ist keine Kritik.

Google hat Chrome entwickelt, um seine Suchumsätze zu sichern. AWS hat Dutzende von Open-Source-Tools entwickelt, um die Verbreitung der Cloud voranzutreiben. Dass Cloudflare ein CMS entwickelt, um die Nutzung von Workers und D1 zu steigern, folgt dem gleichen Muster.

Agenturen sollten die Anreizstruktur verstehen und bei ihrer Bewertung berücksichtigen. EmDash ist ein wirklich interessantes Produkt, und EmDash dient dazu, die Plattformumsätze von Cloudflare zu steigern. Keine Wohltätigkeit. Kein Zynismus. Geschäft.

Das Argument zur Plugin-Sicherheit

Die Zahlen sprechen für sich

Das schlagkräftigste Argument von EmDash gegen WordPress ist die Sicherheit der Plugins, und die Daten untermauern dies. Daten von Patchstack für 2025/2026: 11.334 neue Sicherheitslücken im WordPress-Ökosystem, was einem Anstieg von 42 % gegenüber dem Vorjahr entspricht.

91 % der Sicherheitslücken gingen auf Plugins zurück, nicht auf den WordPress-Kern. Der WordPress-Kern selbst ist bemerkenswert sicher. Das Plugin-Ökosystem hingegen ist es nicht.

1.966 Sicherheitslücken wurden als hochgradig kritisch eingestuft (CVSS 7.0+). Der gewichtete Medianwert für die Zeit zwischen der öffentlichen Bekanntgabe und der massenhaften Ausnutzung betrug 5 Stunden.

Und 46 % aller bekannt gewordenen Sicherheitslücken waren zum Zeitpunkt ihrer Veröffentlichung noch nicht gepatcht. Als Angreifer von der Sicherheitslücke erfuhren, gab es noch keine Lösung dafür. Diese Zahl von 46 % sollte den Verantwortlichen in den Behörden schlaflose Nächte bereiten und sie dazu bewegen, „Site-Protect“, unsere Technologie für virtuelles Patching, einzuführen. Für fast die Hälfte der neu entdeckten Sicherheitslücken gibt es noch keine Aktualisierung.

Die Sandbox-Ausführung von EmDash begrenzt den Schadensumfang einer einzelnen Sicherheitslücke auf die isolierte Plugin-Umgebung. Ein kompromittiertes Galerie-Plugin könnte keinen vollständigen Zugriff auf die Datenbank erlangen. Ein bösartiger Formular-Generator könnte nicht die gesamte Benutzertabelle abgreifen. Jedes Plugin läuft in seiner eigenen Sandbox, sodass eine Sicherheitslücke in einem Plugin keine Kettenreaktion auslösen kann.

Dies ist ein echter architektonischer Vorteil gegenüber dem derzeitigen Modell von WordPress.

Sandboxing vs. Betrieb

Sandboxing begrenzt jedoch nur den Schadensradius. Nicht die eigentliche Ursache.

Das Kernproblem bei der WordPress-Sicherheit besteht nicht darin, dass Plugins denselben Prozess nutzen. Das Problem ist eine Lücke bei der Patch-Verwaltung und Wartung, die keine Architektur vollständig beheben kann. Plugins werden mit Sicherheitslücken ausgeliefert. Patches kommen zu spät oder gar nicht. Website-Betreiber führen keine Updates durch. Niemand überwacht das System.

Die Fehlerkette ist operativer Natur, nicht architektonischer. Ein in einer Sandbox ausgeführtes Plugin mit einer SQL-Injection-Schwachstelle weist nach wie vor eine SQL-Injection-Schwachstelle auf. Die Daten innerhalb des Geltungsbereichs dieses Plugins sind weiterhin gefährdet. Geringerer Schadensumfang. Gleiche Schwachstelle.

Architektonische Verbesserungen und betriebliche Disziplin ergänzen sich – sie stehen nicht im Widerspruch zueinander. Sandboxing ist eine bessere Architektur, um den Ausbreitungsradius von Sicherheitsvorfällen einzudämmen. Doch die WordPress-Seiten, die Ihre Agentur derzeit verwaltet, können nicht auf eine neue Architektur warten.

Sie benötigen jetzt eine aktive Verwaltung: Jedes Plugin muss auf bekannte Sicherheitslücken überprüft werden, sichere Updates müssen automatisiert und bei Fehlern rückgängig gemacht werden, bei Problemen muss eine Warnmeldung ausgegeben werden, und es muss sichergestellt werden, dass keine Website übersehen wird.

Die SchwachstellenüberwachungWP Umbrella bietet diese operative Ebene für alle von Ihnen verwalteten Websites. Wenn eine Schwachstelle bekannt wird, müssen Sie innerhalb von Minuten – und nicht erst nach Stunden – über Ihr gesamtes Portfolio hinweg darüber informiert sein.

Bei einem mittleren Ausnutzungsfenster von fünf Stunden ist der Unterschied zwischen automatisierter Überwachung und manueller Überprüfung der Unterschied zwischen proaktivem Schutz und Reaktion auf Vorfälle. Die 46 % der Schwachstellen, die ohne Patches ausgeliefert werden, erfordern eine Überwachung der Bedrohung, eine Bewertung des Risikos und die Anwendung einer WAF-Regel oder die Deaktivierung des Plugins, bevor die Ausnutzung beginnt. Dieser Arbeitsablauf funktioniert auf Behördenebene nur, wenn er automatisiert und zentralisiert ist.

Argumente gegen überstürztes Handeln

Die WordPress-Wirtschaft ist riesig

596,7 Milliarden Dollar.

Das ist der geschätzte Wert der WordPress-Ökosystem-Wirtschaft: Hosting, Agenturen, Themes, Plugins, Schulungen und Beratung zusammengenommen. Allein der Plugin-Markt erwirtschaftet jährlich 2,38 Milliarden Dollar.

WordPress betreibt 43,4 % aller Websites im Internet. Über 60.000 Plugins. Zehntausende Agenturen. Hunderte von Hosting-Anbietern. Millionen von Menschen verdienen damit ihren Lebensunterhalt. Dies ist kein schwacher Marktführer, der darauf wartet, verdrängt zu werden.

Zum Start verfügt EmDash über 89 Commits auf GitHub. Kein Plugin-Marktplatz. Kein Theme-Ökosystem. Kein Netzwerk von Hosting-Partnern außerhalb von Cloudflare selbst. Keine Schulungsprogramme. Keine Tools für Agenturen. Keine etablierte Freelancer-Community.

Die Kluft zwischen „vielversprechender Architektur“ und „tragfähiger Geschäftsplattform“ lässt sich in Jahren und Milliarden von Dollar an Investitionen in das Ökosystem messen.

Die Umfrage von Admin Bar aus dem Jahr 2026 (622 Befragte, 51 Länder) zeigt, wie strukturell die wirtschaftlichen Rahmenbedingungen für Agenturen sind. Eine durchschnittliche WordPress-Agentur beschäftigt 2,4 Mitarbeiter und verfügt über 12,8 Jahre Erfahrung. Kleine, erfahrene Teams mit knappen Margen.

Die aussagekräftigste Erkenntnis: Agenturen, die 25 % oder mehr ihres Umsatzes aus wiederkehrenden Einnahmequellen (Betreuungsverträge, Wartungsverträge, Pauschalhonorare) erzielen, sind deutlich profitabler als solche ohne. Bei 0 % wiederkehrenden Einnahmen geben 58,3 % der Agenturen an, unprofitabel zu sein. Bei 25 % oder mehr wiederkehrenden Einnahmen ist dies bei weniger als jeder Zehnten der Fall.

Die Einnahmen aus Betreuungsverträgen bilden das finanzielle Rückgrat erfolgreicher WordPress-Agenturen.

In der Welt von EmDash gibt es keine wiederkehrenden Einnahmen. Kein Plugin-Ökosystem bedeutet keine Wartungswirtschaft. Es müssen keine Update-Zyklen verwaltet, keine Schwachstellenüberwachung bereitgestellt und keine Wartungsverträge verkauft werden. Cloudflare kümmert sich um die Infrastruktur. Serverlos bedeutet keine Serververwaltung.

Wie hoch ist die monatliche Rechnung einer Agentur für eine EmDash-Website?

Rechnen Sie einmal für Ihr eigenes Unternehmen nach. Wenn Sie 40 Kundenstandorte zu je 100 $ pro Monat für Wartungsverträge betreuen, ergibt das einen jährlichen wiederkehrenden Umsatz von 48.000 $. Bei einer Marge von 60 bis 80 % bedeutet das einen Gewinn von 29.000 bis 38.000 $ allein aus der Wartung.

Für eine Agentur mit 2,4 Mitarbeitern macht diese Einnahmequelle oft den Unterschied aus, ob man einen externen Mitarbeiter einstellt oder nicht, ob man in Marketing investiert oder nur auf der Stelle tritt. Stellen Sie sich nun vor, Sie müssten diesen 40 Kunden mitteilen, dass Sie sie auf eine Plattform umziehen, auf der das Konzept eines Pflegeplans noch nicht existiert, weil das Plugin-Ökosystem, das Wartungsarbeiten generiert, noch nicht vorhanden ist.

Bei diesem Gespräch geht es nicht nur um technische Aspekte. Es ist gleichzeitig ein Gespräch über Umsatz, Kundenbindung und Geschäftsmodelle.

Ihre Wartungsverträge sichern die Gehälter. Ihre Wartungsverträge finanzieren das Wachstum. Um diese Einnahmequellen wegfallen zu lassen, müssten sie durch etwas ebenso Verlässliches ersetzt werden – und das gibt es noch nicht.

Migrationsmathematik

CMS-Migrationen gehören zu den teuersten, störungsintensivsten und fehleranfälligsten Projekten, die eine Behörde durchführen kann. Behörden, die eine solche Migration überstanden haben, wissen das aus eigener Erfahrung. Behörden, die dies noch nicht erlebt haben, neigen dazu, die Kosten um ein Vielfaches zu unterschätzen.

Die sichtbaren Kosten (Entwicklungsstunden, Content-Migration) sind nur die halbe Wahrheit. Bei über 50 % der CMS-Migrationen werden die angestrebten Ziele hinsichtlich Zeitplan, Budget, Funktionsumfang oder aller drei Aspekte verfehlt.

Die Kosten pro Website liegen zwischen 10.000 und 50.000 US-Dollar oder mehr, je nach Komplexität, Integrationen, Umfang der Inhalte und individuellen Funktionen. Zeitrahmen: 4 bis 9 Monate pro Projekt. Durch Umschulungen, die Neugestaltung von Arbeitsabläufen, den Aufwand für die Kommunikation mit dem Kunden sowie unvorhergesehene technische Probleme fallen in der Regel zusätzliche Kosten in Höhe von 15 bis 20 % an.

Für eine Agentur, die 25 Kundenwebsites verwaltet, belaufen sich die Migrationskosten allein schon bei vorsichtigen Schätzungen auf 250.000 bis 1,25 Millionen Dollar. Zeitrahmen: ein bis drei Jahre Parallelbetrieb der Plattformen während der Umstellung.

Jede Website, die migriert wird, ist eine Website, die keine neuen Funktionen erhalten kann, ein Kunde, dessen Anfragen zurückgestellt werden, und eine Einnahmequelle, die gefährdet ist, falls die Migration zu Fehlern oder Ausfallzeiten führt. Ein 2,4-köpfiges Team mit 12,8 Jahren WordPress-spezifischer Erfahrung kann ein solches Plattformrisiko bei einem Produkt der Version 0.1.0 nicht tragen.

Shopify, eines der erfolgreichsten Plattformunternehmen der letzten zwei Jahrzehnte, brauchte über ein Jahrzehnt, um ein nennenswertes App-Ökosystem aufzubauen. Das Plugin-Verzeichnis von WordPress umfasst über 60.000 Einträge.

Auch wenn die KI-gestützte Entwicklung die Erstellung von Plugins beschleunigt, erfordert der Aufbau eines Ökosystems aus einsatzbereiten Formularerstellern, SEO-Plattformen, E-Commerce-Integrationen, Buchungssystemen und Zahlungsgateways jahrelange Weiterentwicklung, Fehlerbehebung, Dokumentation und das Vertrauen der Community.

Jedes dieser Plugins existiert, weil sich ein Entwickler oder ein Unternehmen dazu verpflichtet hat, es über WordPress-Versionsupdates, Änderungen der Hosting-Umgebung und sich weiterentwickelnde Sicherheitsanforderungen hinweg zu pflegen. Auf diese Verpflichtung zur Pflege verlassen sich Agenturen, wenn sie einem Kunden ein Plugin empfehlen. Das lässt sich nicht von heute auf morgen schaffen.

Cloudflare kann einen Teil davon durch Kapital und KI-Tools beschleunigen. Cloudflare kann jedoch nicht die in der Praxis bewährte Leistungsbilanz und den Wartungsnachweis ersetzen, die Plugins für die Arbeit mit Kunden zuverlässig genug machen.

Warum es EmDash heute gibt

Das Führungsvakuum

Der Zeitpunkt von Cloudflare war kein Zufall. Die Einführung von EmDash ist untrennbar mit der Führungskrise verbunden, die die WordPress-Community seit Ende 2024 spaltet.

Ein Streit zwischen Automattic (dem Unternehmen hinter WordPress.com) und WP Engine eskalierte von Markenrechtsstreitigkeiten dahin, dass WP Engine von den Plugin-Updates auf WordPress.org, dem zentralen Vertriebskanal für WordPress-Plugins, ausgeschlossen wurde.

159 Mitarbeiter von Automattic verließen das Unternehmen im Rahmen eines Abfindungsangebots, wobei 79,2 % dieser Abgänge auf den Geschäftsbereich WordPress entfielen. Community-Mitwirkende wurden von WordPress.org ausgeschlossen. Das Vertrauen in das Führungsmodell zerbrach entlang von Trennlinien, die zuvor nicht existiert hatten.

Das FAIR-Projekt wurde unter der Schirmherrschaft der Linux Foundation mit 300 Mitwirkenden ins Leben gerufen , um ein alternatives Plugin-Repository und ein Governance-Modell aufzubauen, das verhindern soll, dass eine einzelne Instanz einseitige Kontrolle über die Verbreitung von Plugins ausübt.

Ein Schwurgerichtsverfahren ist für Februar 2027 angesetzt. Das Ergebnis wird Auswirkungen auf den rechtlichen Status und die Führungsstruktur von WordPress.org haben, die sich auf alle Organisationen auswirken, die das Plugin-Verzeichnis als Infrastruktur nutzen.

Cloudflare erkannte eine Chance. Die WordPress-Community stellte öffentlich ihr eigenes Governance-Modell, ihre Führungsstruktur mit einem einzigen Schwachpunkt und die langfristige Zuverlässigkeit von WordPress.org als neutrale Infrastruktur in Frage.

Wenn die Stelle, die den Vertrieb von Plugins kontrolliert, den Zugang eines großen Hosting-Anbieters einseitig sperren kann, hat jede Agentur, die auf dieses Verzeichnis angewiesen ist, Grund, ihre Annahmen hinsichtlich der Stabilität der Plattform zu überdenken.

Die MIT-Lizenz von EmDash (die freizügiger ist als die GPL von WordPress, da sie keine Copyleft-Verpflichtungen enthält und weniger Einschränkungen hinsichtlich der kommerziellen Nutzung vorsieht) war eine direkte Reaktion auf diese Bedenken.

Für Plugin-Entwickler sind die Lizenzbedingungen von entscheidender Bedeutung. Die GPL von WordPress schreibt vor, dass alle abgeleiteten Werke die GPL-Lizenz übernehmen müssen, was zu anhaltenden Spannungen auf dem Markt für kommerzielle Plugins führt. Die MIT-Lizenz beseitigt diese Reibungspunkte vollständig. Kommerzielle Entwickler können proprietäre Plugins erstellen, diese zu ihren eigenen Bedingungen verkaufen und Code ohne Copyleft-Verpflichtungen einbinden.

Für Agenturen, die einschätzen wollen, wohin sich die kommerzielle Dynamik des Ökosystems in den nächsten 5 bis 10 Jahren entwickeln wird, ist dies ein struktureller Faktor, den es zu beobachten gilt. Derzeit ist er noch nicht entscheidend. Sollte EmDash jedoch die Version 1.0 mit einem funktionsfähigen Plugin-Marktplatz erreichen, könnte das Lizenzumfeld kommerzielle Entwickler auf eine Weise anziehen, wie es die GPL nicht vermag.

Der Entscheidungsrahmen der Agentur

Ist EmDash ein WordPress-Killer?

Nein.

Nicht heute und wahrscheinlich auch nicht in den nächsten drei bis fünf Jahren.

EmDash ist jedoch ein ernstzunehmender langfristiger Konkurrent, den Agenturen im Auge behalten und nicht ignorieren sollten. Die richtige Vorgehensweise hängt von der Größe Ihres Teams, Ihrem Kundenstamm, Ihrer Risikobereitschaft und der Zusammensetzung Ihrer Einnahmen ab.

Stufe 1: Abwarten und beobachten.

Am besten geeignet für: die meisten Agenturen, die 5 bis über 50 WordPress-Websites für Kunden verwalten und deren Fachkompetenz und Umsatz von WordPress abhängen. EmDash befindet sich in der Version 0.1.0. Bleiben Sie bei WordPress. Investieren Sie in operative Exzellenz: Schwachstellenüberwachung, automatisierte sichere Updates, Leistungsoptimierung, Kundenberichte. Bewerten Sie EmDash 12 bis 18 Monate nach der Veröffentlichung von Version 1.0 erneut.

Die Investition mit dem derzeit höchsten ROI betrifft den Betrieb, nicht die Architektur. Verkürzen Sie die durchschnittliche Reaktionszeit auf Sicherheitslücken in Plugins. Automatisieren Sie die Update-Workflows, die sonst viel manuelle Arbeit erfordern. Erstellen Sie Berichte, die Ihren Mehrwert bei Vertragsverlängerungen belegen.

Diese Investitionen zahlen sich aus, ganz gleich, wie sich die Zukunft von EmDash oder anderen CMS entwickelt. Und sie wirken sich synergetisch aus: Eine Agentur mit lückenloser Sicherheitsüberwachung, automatisierten, sicheren Updates und professionellem Kundenreporting ist für bestehende Kunden schwerer zu verlassen, weckt bei potenziellen Kunden leichter Vertrauen und ist widerstandsfähiger gegenüber den Veränderungen, die die CMS-Landschaft bis 2028 mit sich bringen wird.

Stufe 2: Testen Sie das Konzept bei internen Projekten.

Am besten geeignet für: Agenturen mit Kapazitäten für Forschung und Entwicklung. Starten Sie ein persönliches oder internes Projekt auf EmDash. Testen Sie die KI-Tools. Die Agent Skills und der MCP-Server sind wirklich interessant für die Produktivität der Entwickler.

Entwickeln Sie ein Theme. Prüfen Sie, wie sich die Bearbeitung von Inhalten im Vergleich zu Gutenberg für die Art von Websites eignet, die Ihre Kunden tatsächlich benötigen. Bilden Sie sich Ihre eigene Meinung, anstatt sich auf Berichte aus zweiter Hand zu verlassen. Behalten Sie jedoch Kundenprojekte auf WordPress. Ein persönliches Experiment birgt kein Risiko für den Kunden. Eine verfrühte Migration birgt hingegen ein enormes Risiko für den Kunden.

Stufe 3: Im Blick behalten für eine künftige Diversifizierung.

Am besten geeignet für: Agenturen mit Kunden, die intensiv auf Cloudflare setzen, Infrastrukturprodukte oder eigene Forschungs- und Entwicklungskapazitäten. Nehmen Sie EmDash in Ihren Bewertungszyklus für 2027 auf. Untersuchen Sie die Ausführung von Plugins in einer Sandbox und wie das Modell Ihre eigenen Sicherheitspraktiken beeinflussen könnte.

Prüfen, ob sich der MCP-Server-Ansatz für WordPress-Entwicklungsabläufe anpassen lässt. Die Verbreitung des x402-Zahlungsprotokolls verfolgen. Sollten Transaktionen durch autonome KI-Agenten zum Standard werden, benötigt WordPress eine entsprechende Infrastruktur, und Agenturen, die diese Entwicklung frühzeitig erkennen, werden in der Lage sein, diese aufzubauen.

Der strategische Vorteil liegt hier nicht in der Einführung von EmDash. Es geht vielmehr darum, die Architekturmuster zu verstehen, die letztendlich über Plugins, Innovationen auf Hosting-Ebene oder Kern-Updates Einzug in WordPress halten werden. Agenturen, die sich frühzeitig mit Headless WordPress befasst haben, waren diejenigen, die Unternehmensaufträge an Land ziehen konnten, als sich der Markt wandelte. Die gleiche Dynamik gilt auch hier.

Die Stimmungsdaten aus WordPress liefern Einblicke in alle drei Ebenen. Die Gesamtzufriedenheit liegt bei 63,3 % und ist damit von 68 % gesunken. Dieser Rückgang ist real. Agenturen, die KI-freundliche Arbeitsabläufe eingeführt haben, verzeichneten jedoch ein Wachstum von 58,5 %, was darauf hindeutet, dass der Weg in die Zukunft in der Modernisierung der Betriebsabläufe liegt und nicht in der Abkehr von der Plattform.

Die Lösung besteht nicht darin, alles von Grund auf neu aufzubauen. Die Lösung besteht darin, die bestehende Infrastruktur mit der operativen Disziplin zu verwalten, die die Plattform erfordert.

Wenn Ihre Agentur WordPress-Websites in großem Umfang verwaltet, WP Umbrella genau auf Ihre Bedürfnisse zugeschnitten: die operative Infrastruktur, die WordPress-Wartungspakete zuverlässig, professionell und skalierbar macht.

Ihre WordPress-Seiten müssen jetzt verwaltet werden

11.334 Sicherheitslücken. 5-stündige Ausnutzungsfenster. 46 % waren zum Zeitpunkt der Bekanntgabe noch nicht gepatcht. Unabhängig davon, ob EmDash in den nächsten fünf Jahren Erfolg haben wird oder scheitert – die Daten von Patchstack haben bereits eines bewiesen: WordPress-Seiten ohne aktive Verwaltung leben auf geborgte Zeit.

Die Frage ist nicht, ob Sie Ihr WordPress-Portfolio verwalten sollten. Die Frage ist, ob Sie dies mit der richtigen Infrastruktur tun.

WP Umbrella genau auf die Probleme WP Umbrella , die durch die Architektur von EmDash deutlich werden, und bietet bereits heute Lösungen dafür. Überwachung der Sicherheitslücken aller Websites in einem Dashboard, noch bevor das 5-Stunden-Fenster abläuft.

Sichere Updates mit visueller Regression und automatischem Rollback, damit Sie sich nicht mehr zwischen „Update und Daumen drücken“ und „niemals aktualisieren“ entscheiden müssen.

Verwaltung mehrerer Standorte (10, 50 oder über 200) mit Massenaktionen, Verfügbarkeitsprüfungen und Leistungsüberwachung. White-Label-Kundenberichte, die Ihren Mehrwert belegen und Ihre Wartungsverträge automatisch rechtfertigen.

In der EmDash-Diskussion geht es darum, wie sich der CMS-Markt in den nächsten drei bis fünf Jahren entwickeln könnte. Ihre WordPress-Websites generieren bereits heute Morgen Einnahmen für Ihre Agentur. Verwalten Sie das, was Sie haben, besser.

Starten Sie Ihre kostenlose Testphase. Keine Kreditkarte erforderlich.

Fazit

EmDash ist ein ernstzunehmendes Projekt, das auf einer soliden Infrastruktur basiert. Plugins in Sandbox-Umgebungen, Passkey-First-Authentifizierung, KI-native Entwicklertools: Das sind echte Innovationen von einem Unternehmen, das über die nötigen Ressourcen verfügt, um langfristig zu investieren. Ehre, wem Ehre gebührt.

Aber Aufmerksamkeit ist noch kein Handeln. WordPress macht 43,4 % des Internets aus, trägt zu einer Wirtschaftskraft von 596,7 Milliarden Dollar bei, und die Websites Ihrer Kunden laufen gerade darauf und generieren den Umsatz, der Ihre Agentur am Leben hält.

Die Agenturen, die im Jahr 2026 erfolgreich sein werden, sind nicht diejenigen, die einer Plattform der Version 1.0 hinterhergelaufen sind.

Das sind diejenigen, die ihre WordPress-Infrastruktur diszipliniert verwaltet haben, während alle anderen sich von der nächsten Schlagzeile ablenken ließen.

Beobachte EmDash. Schätze die Technik. Und kümmere dich um das, was vor dir liegt.