Quante volte hai controllato il codice di ogni plugin di WordPress che hai installato? Se sei come la maggior parte degli sviluppatori, la risposta è zero. Ci fidiamo di estranei su Internet per la nostra infrastruttura di produzione perché l’alternativa—costruire tutto da zero—è peggiore.
Questo è il segreto inconfessabile di WordPress: il suo ecosistema di plugin è sia il suo più grande punto di forza che il suo tallone d’Achille. Cloudflare ha appena lanciato EmDash, un CMS open-source che afferma di risolvere questo problema. Come qualcuno che ha passato anni a costruire sistemi backend che devono scalare, sono cauto ma ottimista.
Il Problema dei Plugin di Cui Nessuno Vuole Parlare
WordPress alimenta il 43% del web. Non è un errore di battitura. Quasi la metà di tutti i siti web gira su una base di codice PHP del 2003, estesa da migliaia di plugin scritti da sviluppatori con vari livelli di abilità e consapevolezza riguardo alla sicurezza.
I numeri sono brutali: ogni plugin è un potenziale vettore di attacco. Installa dieci plugin e stai affidando dieci diverse basi di codice, dieci diversi cicli di aggiornamento e dieci diverse posture di sicurezza. Un plugin compromesso può esporre l’intero sito. Tutti noi abbiamo visto succedere questa cosa.
Il team principale di WordPress fa un lavoro solido, ma non può controllare l’intero ecosistema di plugin. Non dovrebbe neanche doverlo fare. L’architettura stessa è il problema.
Arriva EmDash: TypeScript e Serverless
EmDash è stato lanciato nel 2026 come successore spirituale di WordPress, costruito interamente in TypeScript su Astro 6.0. Ha licenza MIT ed è progettato per funzionare in modalità serverless fin dal primo giorno.
Da una prospettiva di ingegneria backend, questo è importante. TypeScript ti offre sicurezza di tipo a tempo di compilazione. L’architettura serverless significa che non stai gestendo server che possono essere compromessi. Queste non sono solo parole d’ordine—sono decisioni architettoniche che cambiano fondamentalmente il modello di sicurezza.
Ma la vera domanda è: come risolve EmDash effettivamente il problema della sicurezza dei plugin? L’annuncio di Matt “TK” Taylor di Cloudflare lo presenta come una risposta a “preoccupazioni di sicurezza sui plugin di lunga data”, ma il diavolo è nei dettagli di implementazione.
Cosa Comprende Davvero TypeScript
Siamo specifici su perché TypeScript sia importante per la sicurezza dei plugin. In WordPress, un plugin può fare praticamente qualsiasi cosa—accedere direttamente al database, modificare file di base, eseguire PHP arbitrario. Ci sono hook e filtri, ma sono convenzioni, non confini forzati.
TypeScript con una API di plugin ben progettata può far rispettare contratti a tempo di compilazione. Se il sistema di plugin di EmDash utilizza tipizzazione rigorosa e sandboxing, i plugin letteralmente non possono accedere alle risorse a cui non dovrebbero avere accesso. Il codice non si compilerà.
Questo è un modello di sicurezza fondamentalmente diverso. Invece di fidarsi degli autori di plugin per seguire le migliori pratiche, si utilizza il sistema di tipi per rendere impossibili certe classi di vulnerabilità.
Serverless Cambia la Superficie di Attacco
Il tradizionale hosting di WordPress significa avere un server persistente con un file system, un database e processi PHP a lungo termine. Comprometti una parte, e un attaccante può passare ad altre.
L’architettura serverless è stateless per design. Ogni richiesta è isolata. Non c’è un file system persistente su cui scrivere malware. Nessun processo a lungo termine da dirottare. La superficie di attacco si riduce notevolmente.
Sì, hai ancora un database. Sì, hai ancora l’autenticazione. Ma il raggio d’azione di un plugin compromesso è molto più piccolo quando non può persistere oltre una singola richiesta.
La Vera Prova: Adozione
Ecco cosa sto osservando: EmDash attirerà l’ecosistema di plugin che ha reso WordPress un successo? La sicurezza è importante, ma gli sviluppatori scelgono le piattaforme in base a ciò che possono costruire, non solo a ciò che non possono rompere.
WordPress ha avuto successo perché chiunque poteva estenderlo. La barriera d’ingresso era bassa. EmDash deve mantenere questa accessibilità mentre aggiunge misure di sicurezza. È un equilibrio difficile da ottenere.
Il solo requisito di TypeScript escluderà alcuni sviluppatori. Potrebbe essere una caratteristica, non un difetto. Un ecosistema di plugin più piccolo e più consapevole della sicurezza potrebbe essere migliore di uno enorme dove la qualità varia notevolmente.
Cosa Significa Questo per gli Ingegneri Backend
Se stai costruendo sistemi che devono scalare, l’approccio prima serverless di EmDash merita di essere studiato. Lo spazio dei CMS è stagnante da anni. La maggior parte delle alternative “moderne” sono o troppo rigide o troppo essenziali.
EmDash potrebbe cucire quel filo. È rigoroso riguardo alla sicurezza e all’architettura, ma flessibile riguardo alla modellazione e presentazione dei contenuti. Questi sono i giusti compromessi per il 2026.
Sostituirà WordPress? Probabilmente non nel prossimo futuro. Ma non deve farlo. Se EmDash riesce a catturare anche solo il 5% dei nuovi deployment di CMS risolvendo il problema della sicurezza dei plugin, si tratterebbe di milioni di siti con una migliore postura di sicurezza.
E questo merita attenzione.
🕒 Published: