O WordPress completa mais de duas décadas alimentando a web. Em fevereiro de 2026, o CMS responde por 42.8% de todos os sites do mundo, segundo a W3Techs. Cerca de 594 milhões de sites. O segundo colocado, Shopify, tem 5.2%.

Esses números impressionam, mas contam apenas parte da história. Por trás do market share, o ecossistema WordPress atravessa um dos períodos mais turbulentos da sua existência: uma disputa judicial entre o criador da plataforma e um dos maiores hosts do mercado, demissões em massa na Automattic, vulnerabilidades recordes em plugins, e uma reinvenção técnica que tenta posicionar o CMS para a era da IA.

O que esses dados significam para quem desenvolve software hoje? E mais importante: market share equivale a relevância técnica?

Os números por trás do domínio

Os 42.8% da W3Techs merecem contexto. O número inclui qualquer site que rode WordPress, de blogs pessoais abandonados a portais corporativos com milhões de acessos. Se considerarmos apenas sites com CMS identificável, a fatia sobe para 60%. O WordPress tem nove vezes o market share do concorrente mais próximo.

Mas existe um detalhe que passou despercebido por anos: o crescimento parou. O WordPress saiu de 21% em 2014 para 43.5% em 2022. De lá para cá, oscilou entre 42.8% e 43.5%. A queda para 42.8% no início de 2026 é a primeira retração consistente em uma década.

Isso não significa colapso. Significa saturação. O WordPress já conquistou praticamente todo o público que consegue atingir com sua proposta atual. Os sites novos que surgem hoje escolhem entre Wix, Squarespace, Webflow ou frameworks como Next.js e Astro. São públicos diferentes, mas que antes não tinham alternativas viáveis.

A crise que ninguém pediu

Em setembro de 2024, Matt Mullenweg, co-criador do WordPress e CEO da Automattic, chamou a WP Engine de "câncer do WordPress" em um post público. A acusação: a empresa lucraria bilhões com o ecossistema sem contribuir proporcionalmente com o projeto open source.

O que veio depois escalou rápido. Mullenweg bloqueou o acesso da WP Engine ao WordPress.org, impedindo que sites hospedados na plataforma recebessem atualizações de plugins e temas. A WP Engine processou a Automattic e Mullenweg em outubro de 2024. O tribunal autorizou a maioria das acusações, incluindo interferência intencional, concorrência desleal e difamação.

O impacto interno foi severo. Em outubro de 2024, Mullenweg ofereceu um pacote de desligamento para funcionários que discordassem da sua direção: 30 mil dólares ou seis meses de salário. 159 pessoas aceitaram em menos de 24 horas, quase 80% delas da divisão WordPress/Ecosystem. Em abril de 2025, a Automattic demitiu mais 281 funcionários, 16% da força de trabalho.

A BlackRock, que detém 0.6% da Automattic, reduziu a avaliação das suas ações para 27.74 dólares em junho de 2025. Em 2021, essas ações valiam 85 dólares. Uma queda de 67.4%. O julgamento entre WP Engine e Automattic está marcado para fevereiro de 2027.

Para quem depende do WordPress profissionalmente, a pergunta que fica é incômoda: o que acontece com um projeto open source quando uma pessoa concentra poder suficiente para bloquear o acesso de milhões de sites a atualizações de segurança?

Segurança: o preço da popularidade

O WordPress core tem um histórico razoável de segurança. O problema está no ecossistema de plugins, e os números de 2024 e 2025 são difíceis de ignorar.

O relatório da Patchstack registrou 7.966 novas vulnerabilidades no ecossistema WordPress em 2024, um aumento de 34% sobre 2023. São 22 novas vulnerabilidades por dia. 96% estavam em plugins, 4% em temas. 43% das vulnerabilidades não exigiam autenticação para exploração.

Em 2025, os números ficaram piores. A Patchstack e a Wordfence, as duas maiores CNAs focadas em WordPress, emitiram juntas mais de 10 mil CVEs. O volume total de CVEs no ecossistema alcançou 48.185 no ano, impulsionado pelo ecossistema de plugins.

Mais da metade dos desenvolvedores de plugins notificados pela Patchstack não corrigiu as vulnerabilidades antes da divulgação pública. 1.614 plugins abandonados foram removidos do repositório WordPress.org.

O Gravity Forms, plugin premium com cerca de 1 milhão de instalações, sofreu um supply chain attack em 2025: atacantes comprometeram a infraestrutura do vendor e infectaram os instaladores manuais do site oficial com backdoors.

O core do WordPress é mantido por uma equipe competente. Mas o modelo de extensibilidade via plugins cria uma superfície de ataque enorme, e a governança descentralizada dos plugins torna impossível garantir que todos sigam boas práticas de segurança.

A reinvenção silenciosa

Enquanto as crises ocupam as manchetes, o WordPress está passando por transformações técnicas significativas.

O Full Site Editing (FSE) cresceu 145% em adoção durante 2025. O editor de blocos Gutenberg, que tinha 37% de adoção em 2020, hoje é usado por 60% dos sites WordPress. O repositório WordPress.org lista mais de 1.180 block themes com 2.7 milhões de instalações ativas. A maioria dos temas novos já nasce como block theme.

O WordPress 7.0, com Beta 1 lançado em 19 de fevereiro de 2026 e release estável previsto para 9 de abril no WordCamp Asia, traz uma mudança mais profunda. A Abilities API, introduzida no WordPress 6.9, padroniza como funcionalidades do WordPress (plugins, temas, core) são registradas, descobertas e executadas de forma programática.

O MCP Adapter conecta essa API ao Model Context Protocol, o padrão de integração com assistentes de IA criado pela Anthropic. Na prática, ferramentas como Claude Desktop, Cursor e VS Code podem descobrir e executar ações em um site WordPress diretamente. Criar posts, atualizar configurações, rodar diagnósticos.

O WordPress.com também lançou um AI Assistant em 17 de fevereiro de 2026, gratuito para planos Business e Commerce, com funcionalidades de geração e edição de conteúdo, criação de imagens e sugestões de SEO.

É uma aposta ousada. O WordPress está se posicionando como o primeiro CMS com suporte nativo a agentes de IA no core. Se vai funcionar na prática, depende de quanto a comunidade de plugins vai adotar a Abilities API.

Headless WordPress: a terceira via

O debate "WordPress monolítico versus headless CMS" ganhou nuance nos últimos anos. O WordPress já pode funcionar como headless CMS, servindo conteúdo via REST API ou WPGraphQL para qualquer frontend: React, Vue, Next.js, Astro.

Essa abordagem preserva a interface de administração que milhões de editores de conteúdo já conhecem, mas libera o frontend das limitações de performance e arquitetura do PHP. Sites que adotam WordPress headless tipicamente usam geração estática ou server-side rendering, reduzindo o overhead de plugins e themes tradicionais.

Strapi, Sanity e Contentful nasceram headless e oferecem APIs mais modernas, tipadas e com melhor developer experience. O WPGraphQL funciona bem, mas é um plugin mantido pela comunidade, não pelo core. Isso gera a pergunta legítima: vale a pena carregar o peso do WordPress inteiro apenas para usar a interface de admin?

Para equipes que já têm conteúdo no WordPress e editores treinados, a migração para um headless CMS dedicado tem custo alto. Para projetos greenfield, começar com Strapi ou Sanity pode ser mais direto. Não existe resposta universal.

Onde o WordPress ainda funciona

Algumas categorias de projeto continuam bem servidas pelo WordPress:

  • Sites de pequenas e médias empresas que precisam de presença online sem equipe de desenvolvimento dedicada
  • Blogs e publicações com equipes editoriais que dependem de um workflow de revisão maduro
  • E-commerce via WooCommerce, que detém uma fatia relevante do mercado de lojas online
  • Sites institucionais onde a prioridade é gestão de conteúdo por não-desenvolvedores

Por outro lado, projetos que exigem performance agressiva, arquiteturas customizadas ou stacks modernas de frontend encontram no WordPress mais atrito que benefício. Times com desenvolvedores experientes tendem a preferir frameworks que lhes dão controle total sobre o stack.

O ClassicPress, fork do WordPress com governança 501(c)(3) e sem Gutenberg, existe desde 2018 e fez um re-fork a partir do WordPress 6.x em 2024. Tem uma comunidade menor, mas funciona como válvula de escape para quem quer o WordPress sem a direção que Mullenweg impôs nos últimos anos. Nove core committers, 38 contribuidores votantes. Não vai substituir o WordPress, mas mostra que parte da comunidade já decidiu seguir outro caminho.

Conclusão

O WordPress não vai desaparecer. 42.8% da web não evaporam da noite para o dia, e a inércia de 594 milhões de sites garante relevância por anos.

Mas relevância de mercado não é a mesma coisa que relevância técnica. O ecossistema de plugins continua sendo um risco de segurança estrutural, a governança do projeto está concentrada em uma pessoa que demonstrou disposição para usar esse poder unilateralmente, e as alternativas nunca foram tão acessíveis.

A aposta no WordPress 7.0 com IA e MCP é genuinamente interessante. Se a Abilities API ganhar tração, pode criar um ecossistema onde agentes de IA interagem com WordPress de forma padronizada. Isso seria diferencial real.

Mas o preço de entrada subiu. Manter um site WordPress seguro exige monitoramento contínuo de plugins, atualizações frequentes e hosting competente. Para quem está começando um projeto novo, a pergunta já não é "por que não WordPress?" e sim "por que WordPress?". E dependendo do projeto, a resposta pode ser perfeitamente válida em qualquer direção.

Referências pesquisadas nesta publicação