Přeskočit na obsah
Български Čeština Dansk Deutsch Eesti Ελληνικά English Español Français Hrvatski Italiano Latviešu Lietuvių Magyar Nederlands Polski Português Română Slovenčina Slovenščina Suomi Svenska
HelloBlog
WordPress 6.8 přepíná na bcrypt: proč můžeš bez obav zahodit wp-password-bcrypt
Hannah Turing
Hannah Turing 2025. February 20. · 4 min read

WordPress 6.8 přepíná na bcrypt: proč můžeš bez obav zahodit wp-password-bcrypt

ekosystém wordpress autentizace bcrypt bezpečnost roots wordpress

Kdo někdy řešil bezpečnost přihlašování u starších WordPress instalací, narazil na nepříjemnou realitu: hashování hesel v jádře dlouho nezaostávalo jen „trochu“, ale v praxi to znamenalo slabší ochranu oproti tomu, na co jsme zvyklí z moderních aplikací. Komunita kolem Roots to kdysi řešila pragmaticky balíčkem wp-password-bcrypt – dnes se ale karta obrací.

Podle oznámení k WordPress 6.8 se bcrypt stane výchozí metodou hashování hesel přímo v core. Tím se z wp-password-bcrypt stává v zásadě historická berlička: na webech běžících na WordPressu 6.8+ už nedává smysl ho dál tahat do projektu.

Co se v WordPress 6.8 mění (a proč je to důležité)

bcrypt je zavedený adaptivní hashing algoritmus pro hesla. „Adaptivní“ v praxi znamená, že jde zvyšovat výpočetní náročnost (cost), takže i když hardware útočníků časem zrychluje, můžeš držet krok. Pro autentizaci je to výrazný posun oproti starším přístupům.

Důležitý detail z pohledu provozu: WordPress má v core vlastní vrstvu pro práci s hesly, takže změna algoritmu není jen o tom „uložit novou hodnotu do databáze“, ale hlavně o tom, aby ověřování fungovalo hladce pro existující uživatele.

Proč Roots ukončují wp-password-bcrypt

Balíček wp-password-bcrypt vznikl v době, kdy WordPress v jádře bcrypt nepoužíval. Jeho účel byl jednoduchý: zlepšit zabezpečení hesel dřív, než to vyřeší samotný core.

S příchodem WordPress 6.8 se tento důvod vytrácí. Roots proto oznámili, že projekt postupně „sunsetují“ (ukončují) – ne proto, že by byl špatný, ale protože se stal nadbytečným.

  • Na Packagistu bude wp-password-bcrypt označený jako abandoned.
  • Zmizí odkazy z Bedrocku a související dokumentace.
  • GitHub repozitář bude archivovaný.

Co to znamená pro tvůj web a nasazení

Pokud tvůj web běží na WordPressu 6.8 nebo novějším, wp-password-bcrypt už nepotřebuješ. Podstatné je, že podle oznámení není nutná žádná ruční migrace hesel: existující hesla budou dál fungovat a WordPress core má autentizaci s bcrypt řešit „seamlessly“ (plynule) tam, kde to dává smysl.

Dobrá zpráva pro provoz

Na WordPressu 6.8+ můžeš balíček wp-password-bcrypt bezpečně odstranit. Není potřeba reset hesel ani jednorázový migrační skript – stávající přihlášení mají dál fungovat.

Jak wp-password-bcrypt odstranit (typický Composer/Bedrock scénář)

V praxi tohle nejčastěji potká Bedrock projekty spravované přes Composer. Postup je přímočarý – jen si pohlídej, že opravdu míříš na WordPress 6.8+ a že balíček nemáš navázaný ještě na nějakou vlastní integraci.

  1. Ověř verzi WordPressu v prostředí, kde chceš změnu provést (minimálně 6.8).
  2. Odstraň závislost z Composeru.
  3. Projeď deployment a základní smoke test: login, reset hesla, vytvoření nového uživatele.
# Odinstalace balíčku z projektu
composer remove roots/wp-password-bcrypt

# Následně standardní deployment krok(y) dle tvého procesu
# (např. composer install --no-dev na serveru, nebo build v CI)

Pozor na mixed fleet

Pokud spravuješ víc webů a některé ještě nejsou na 6.8, neházej to do jednoho pytle. U instalací < 6.8 by odstranění balíčku znamenalo návrat na původní chování WordPressu (a tím pádem i horší hashování).

Co se stane se starými hesly? (bez migrace, ale s logikou)

I když WordPress 6.8 přepíná výchozí algoritmus, typická strategie u podobných změn bývá kompatibilita při ověření a postupný „upgrade“ při příštím přihlášení nebo změně hesla. Roots explicitně uvádí, že žádné migrační kroky nejsou potřeba a že stávající hesla budou dál fungovat – takže provozně je to přesně ten typ změny, kterou chceš: bezpečnost nahoru, riziko dolů.

Shrnutí pro vývojáře a správce WordPress webů

  • WordPress 6.8 má podle oznámení používat bcrypt jako výchozí hashování hesel v core.
  • Na webech s WordPress 6.8+ už wp-password-bcrypt nedává smysl a může pryč.
  • Není potřeba migrace hesel – existující přihlášení mají fungovat i po odstranění balíčku.
  • Roots balíček označí jako abandoned, odstraní odkazy z Bedrocku a repozitář archivují.

Reference / Zdroje

Hannah Turing

Hannah Turing

WordPress vývojářka a technická redaktorka v HelloWP. Pomáhám vývojářům vytvářet lepší webové stránky s moderními nástroji jako Laravel, Tailwind CSS a ekosystém WordPress. Vášnivě se věnuji čistému kódu a vývojářské zkušenosti.

Všechny příspěvky

Další od Hannah Turing

Kritická zranitelnost ve WordPress pluginu Modular DS se aktivně zneužívá: neautentizované získání admina Kritická zranitelnost ve WordPress pluginu Modular DS se aktivně zneužívá: neautentizované získání admina Automatizace WordPress formulářů pomocí n8n a WPForms: od webhooku až po hotový workflow Automatizace WordPress formulářů pomocí n8n a WPForms: od webhooku až po hotový workflow Astro míří pod Cloudflare: co to znamená pro framework a vývojáře Astro míří pod Cloudflare: co to znamená pro framework a vývojáře

Připojte se ke komunitě HelloWP!

Povídejte si s námi o WordPressu, webovém vývoji a sdílejte zkušenosti s ostatními vývojáři.

- členové
- online
Připojit se

We use cookies to improve your experience. By continuing, you agree to our Cookie Policy.