WordPress 6.8 macht bcrypt zum Standard: Warum du wp-password-bcrypt jetzt entfernen kannst
WordPress-Passwörter waren lange ein Thema, bei dem man als Entwickler:in lieber selbst nachgebessert hat – vor allem in Projekten, die konsequent per Composer gemanagt werden. Mit WordPress 6.8 ändert sich die Lage grundlegend: bcrypt wird laut Ankündigung der neue Standard fürs Passwort-Hashing im WordPress-Core. Damit verliert ein kleines, aber wichtiges Helferlein aus der Roots-Welt seine Daseinsberechtigung: wp-password-bcrypt.
Was sich mit WordPress 6.8 konkret ändert
bcrypt ist ein etabliertes Verfahren zum sicheren Hashen von Passwörtern. „Hashing“ bedeutet hier: Das Passwort wird nicht gespeichert, sondern als schwer umkehrbarer Prüfwert (Hash) abgelegt. Entscheidend ist dabei, dass moderne Verfahren wie bcrypt bewusst rechenintensiv sind, um Brute-Force- und Wörterbuchangriffe auszubremsen.
Nach der Core-Ankündigung wird WordPress 6.8 bcrypt als Passwort-Hashing-Methode im Core verwenden. Das ist ein Sicherheits-Upgrade, das in der Praxis vor allem zwei Dinge bringt: weniger Bedarf an Zusatzlösungen und ein konsistenter Standard, der auf sehr vielen Installationen ohne Extra-Setup greift.
Warum wp-password-bcrypt damit überflüssig wird
Das Paket roots/wp-password-bcrypt wurde ursprünglich gebaut, um WordPress-Installationen schon vor einem Core-Update auf ein stärkeres Hashing zu heben. Genau diese Lücke schließt WordPress 6.8 nun selbst.
Für dich als Betreiber:in bzw. Maintainer:in bedeutet das: Wenn deine Site WordPress 6.8 oder neuer nutzt, brauchst du wp-password-bcrypt nicht mehr.
Kann ich das Paket einfach entfernen?
Ja – in dem Szenario „WordPress 6.8+“ ist das laut Roots unkritisch. Wichtig ist die gute Nachricht für den laufenden Betrieb: Bestehende Passwörter funktionieren weiter und es ist keine Migration nötig. WordPress übernimmt die Authentifizierung und verwendet bcrypt dort, wo es laut Core-Logik vorgesehen ist.
Kurzcheck für Composer/Bedrock-Projekte
Wenn dein Projekt per Composer gemanagt wird (z. B. Bedrock): Prüfe, ob roots/wp-password-bcrypt in composer.json hängt. Sobald du auf WordPress 6.8+ bist, kannst du das Dependency entfernen und anschließend deployen. Laut Roots sind keine zusätzlichen Schritte für bestehende Passwörter notwendig.
Was Roots mit dem Projekt macht (Abkündigung)
Roots stellt das Paket nicht „einfach nur“ leise ab, sondern zieht einen klaren Schlussstrich. Geplant bzw. angekündigt sind drei Schritte:
wp-password-bcryptwird auf Packagist als abandoned markiert.- Verweise darauf werden aus Bedrock und der zugehörigen Dokumentation entfernt.
- Das GitHub-Repository wird archiviert.
Was du in der Wartungspraxis daraus mitnehmen solltest
Für bestehende Projekte ist das vor allem ein Aufräum-Thema: weniger Sicherheits-Footguns durch zusätzliche Komponenten, weniger Wartungsaufwand in Composer-Lockfiles und eine Stelle weniger, die du bei Audits erklären musst.
Für neue Projekte ist es ein klares Signal: Auf WordPress 6.8+ setzen und Core-Standards nutzen, statt den Passwort-Stack zusätzlich zu verbauen. Wenn du in einer Umgebung unterwegs bist, in der mehrere WordPress-Versionen parallel laufen, lohnt sich ein kurzer Blick auf deine Upgrade-Strategie – denn die Aussage „Paket entfernen“ hängt direkt am Minimum von 6.8.
Zusammenfassung
- WordPress 6.8 bringt bcrypt als Standard-Passwort-Hashing in den Core.
- Ab WordPress 6.8 ist
roots/wp-password-bcryptnicht mehr nötig. - Entfernen ist laut Roots sicher: bestehende Passwörter bleiben gültig, keine Migration erforderlich.
- Roots markiert das Paket als abandoned, entfernt es aus Bedrock-Doku und archiviert das Repo.
Hannah Turing
WordPress-Entwicklerin und technische Redakteurin bei HelloWP. Ich helfe Entwicklern, bessere Websites mit modernen Tools wie Laravel, Tailwind CSS und dem WordPress-Ökosystem zu erstellen. Leidenschaftlich für sauberen Code und Entwicklererfahrung.
Alle Beiträge
