Spring til indhold
Български Čeština Dansk Deutsch Eesti Ελληνικά English Español Français Hrvatski Italiano Latviešu Lietuvių Magyar Nederlands Polski Português Română Slovenčina Slovenščina Suomi Svenska
HelloBlog
WordPress 6.8 gør bcrypt til standard: sådan udfaser du wp-password-bcrypt uden drama
Hannah Turing
Hannah Turing 2025. February 20. · 4 min read

WordPress 6.8 gør bcrypt til standard: sådan udfaser du wp-password-bcrypt uden drama

sikkerhed authentication bedrock composer sikkerhed wordpress

WordPress 6.8 markerer et ret vigtigt (og længe ventet) skift i, hvordan passwords bliver lagret: bcrypt bliver standardmetoden til password hashing i WordPress core. Hvis du tidligere har brugt pakken wp-password-bcrypt fra Roots for at få stærkere hashing på dine sites, ændrer spillet sig nu — pakken er i praksis overflødig fremadrettet.

Her får du overblikket: hvad ændrer sig i 6.8, hvad betyder det for eksisterende installationer, og hvordan du rydder pænt op i din stack (fx Bedrock/Composer) uden at låse brugere ude.

Hvad er bcrypt, og hvorfor betyder det noget i WordPress?

Password hashing er den envejsfunktion, der omdanner et password til en hash, som kan gemmes i databasen. Ved login sammenlignes en ny hash af det indtastede password med den gemte hash. Pointen er, at selv hvis databasen lækkes, skal angriberen ikke kunne læse passwords direkte.

bcrypt er en hashing-algoritme designet til passwords. Den er bevidst langsom og kan konfigureres med en cost-factor, hvilket gør brute force og cracking markant dyrere. Når WordPress 6.8 lægger bcrypt ind i core, får alle sites den forbedring uden ekstra plugins eller MU-packages.

Hvor passer wp-password-bcrypt ind i billedet?

Roots’ wp-password-bcrypt blev oprindeligt lavet for at give WordPress-sites bedre password-sikkerhed før core havde en stærk standardløsning. Mange Bedrock-projekter har derfor haft pakken som en del af deres Composer setup.

Når WordPress 6.8 selv håndterer bcrypt, bliver wp-password-bcrypt unødvendig. Roots’ plan er derfor at udfase den: pakken bliver markeret som abandoned på Packagist, referencer fjernes fra Bedrock og dokumentation, og GitHub-repoet arkiveres.

Det vigtigste: Du kan fjerne pakken uden at migrere passwords

Den praktiske konsekvens for dig som udvikler er ret enkel:

  • Hvis sitet kører WordPress 6.8 eller nyere, behøver du ikke længere wp-password-bcrypt.
  • Du kan fjerne pakken sikkert — eksisterende passwords fortsætter med at virke.
  • Du skal ikke køre migreringsscripts eller tvinge password resets; WordPress core håndterer authentication med bcrypt, hvor det er relevant.

Hvorfor virker eksisterende passwords stadig?

WordPress’ autentificering er lavet til at kunne validere eksisterende password-hashes og gradvist flytte brugere over til en nyere hashing-metode, når de logger ind eller skifter password. Ifølge Roots’ udmelding kræver fjernelsen af wp-password-bcrypt derfor ingen manuelle trin.

Oprydning i Bedrock/Composer: sådan fjerner du wp-password-bcrypt

I Bedrock og andre Composer-baserede WordPress-projekter ligger wp-password-bcrypt typisk som en dependency. Når du har opgraderet til WordPress 6.8+ (og har verificeret at deployen er stabil), kan du rydde den ud.

  1. Sørg for, at sitet faktisk kører WordPress 6.8 eller nyere (staging først, som altid).
  2. Fjern pakken fra din composer.json og kør en Composer update.
  3. Deploy ændringen, og lav et hurtigt login-check med en eksisterende bruger (gerne både admin og en “almindelig” bruger).
# Fjern pakken fra dit projekt
composer remove roots/wp-password-bcrypt

# Commit ændringerne (composer.json + composer.lock)
git status

Timing: fjern først efter core-opgradering

Hvis du fjerner wp-password-bcrypt før du er på WordPress 6.8+, risikerer du at miste den forbedrede hashing, du havde tilføjet netop for at hæve sikkerheden. Opgradér core først, ryd derefter op.

Hvad sker der med pakken fremover?

Roots’ udmelding er ret klar: wp-password-bcrypt bliver ikke videreudviklet. Den bliver markeret som abandoned på Packagist, referencer fjernes fra Bedrock-setup og dokumentation, og GitHub-repoet bliver arkiveret. Med andre ord: forvent ikke fixes eller kompatibilitetsarbejde fremadrettet — og planlæg at fjerne den, når du er på WordPress 6.8+.

Kort opsummering

  • WordPress 6.8 gør bcrypt til standard password hashing i core.
  • roots/wp-password-bcrypt bliver overflødig og udfases/arkiveres.
  • På WordPress 6.8+ kan du fjerne pakken uden migrering: eksisterende passwords fortsætter med at virke.
  • Hvis du bruger Bedrock/Composer: fjern dependency og deploy som normalt, men først efter core-opgradering.

Referencer / Kilder

Hannah Turing

Hannah Turing

WordPress-udvikler og teknisk skribent hos HelloWP. Jeg hjælper udviklere med at bygge bedre hjemmesider med moderne værktøjer som Laravel, Tailwind CSS og WordPress-økosystemet. Passioneret omkring ren kode og udvikleroplevelse.

Alle indlæg

Mere fra Hannah Turing

Kritisk sårbarhed i WordPress-plugin’et Modular DS udnyttes aktivt: sådan reducerer du risikoen nu Kritisk sårbarhed i WordPress-plugin’et Modular DS udnyttes aktivt: sådan reducerer du risikoen nu Automatisér WPForms med n8n: fra formular til workflow uden manuelt tastearbejde Automatisér WPForms med n8n: fra formular til workflow uden manuelt tastearbejde Astro bliver en del af Cloudflare: hvad det betyder for os, der bygger content-sites Astro bliver en del af Cloudflare: hvad det betyder for os, der bygger content-sites

Bliv en del af HelloWP-communityet!

Chat med os om WordPress og webudvikling, og del erfaringer med andre udviklere.

- medlemmer
- online
Deltag

We use cookies to improve your experience. By continuing, you agree to our Cookie Policy.