{"id":132,"date":"2025-02-20T00:00:00","date_gmt":"2025-02-19T23:00:00","guid":{"rendered":"https:\/\/helloblog.io\/de\/wordpress-6-8-bcrypt-standard-wp-password-bcrypt-entfernen\/"},"modified":"2026-01-20T06:32:38","modified_gmt":"2026-01-20T05:32:38","slug":"wordpress-6-8-bcrypt-standard-wp-password-bcrypt-entfernen","status":"publish","type":"post","link":"https:\/\/helloblog.io\/de\/wordpress-6-8-bcrypt-standard-wp-password-bcrypt-entfernen\/","title":{"rendered":"WordPress 6.8 macht bcrypt zum Standard: Warum du wp-password-bcrypt jetzt entfernen kannst"},"content":{"rendered":"\n

WordPress-Passw\u00f6rter waren lange ein Thema, bei dem man als Entwickler:in lieber selbst nachgebessert hat \u2013 vor allem in Projekten, die konsequent per Composer gemanagt werden. Mit WordPress 6.8 \u00e4ndert sich die Lage grundlegend: bcrypt wird laut Ank\u00fcndigung der neue Standard f\u00fcrs Passwort-Hashing im WordPress-Core<\/strong>. Damit verliert ein kleines, aber wichtiges Helferlein aus der Roots-Welt seine Daseinsberechtigung: wp-password-bcrypt<\/code>.<\/p>\n\n\n\n

Was sich mit WordPress 6.8 konkret \u00e4ndert<\/h2>\n\n\n\n

bcrypt ist ein etabliertes Verfahren zum sicheren Hashen von Passw\u00f6rtern. \u201eHashing\u201c bedeutet hier: Das Passwort wird nicht gespeichert, sondern als schwer umkehrbarer Pr\u00fcfwert (Hash) abgelegt. Entscheidend ist dabei, dass moderne Verfahren wie bcrypt bewusst rechenintensiv sind, um Brute-Force- und W\u00f6rterbuchangriffe auszubremsen.<\/p>\n\n\n\n

Nach der Core-Ank\u00fcndigung wird WordPress 6.8 bcrypt als Passwort-Hashing-Methode im Core<\/strong> verwenden. Das ist ein Sicherheits-Upgrade, das in der Praxis vor allem zwei Dinge bringt: weniger Bedarf an Zusatzl\u00f6sungen und ein konsistenter Standard, der auf sehr vielen Installationen ohne Extra-Setup greift.<\/p>\n\n\n\n

Warum wp-password-bcrypt<\/code> damit \u00fcberfl\u00fcssig wird<\/h2>\n\n\n\n

Das Paket roots\/wp-password-bcrypt<\/code><\/a> wurde urspr\u00fcnglich gebaut, um WordPress-Installationen schon vor einem Core-Update auf ein st\u00e4rkeres Hashing zu heben. Genau diese L\u00fccke schlie\u00dft WordPress 6.8 nun selbst.<\/p>\n\n\n\n

F\u00fcr dich als Betreiber:in bzw. Maintainer:in bedeutet das: Wenn deine Site WordPress 6.8 oder neuer nutzt, brauchst du wp-password-bcrypt<\/code> nicht mehr<\/strong>.<\/p>\n\n\n\n

Kann ich das Paket einfach entfernen?<\/h2>\n\n\n\n

Ja \u2013 in dem Szenario \u201eWordPress 6.8+\u201c ist das laut Roots unkritisch. Wichtig ist die gute Nachricht f\u00fcr den laufenden Betrieb: Bestehende Passw\u00f6rter funktionieren weiter und es ist keine Migration n\u00f6tig<\/strong>. WordPress \u00fcbernimmt die Authentifizierung und verwendet bcrypt dort, wo es laut Core-Logik vorgesehen ist.<\/p>\n\n\n\n

\n\n

Kurzcheck f\u00fcr Composer\/Bedrock-Projekte<\/h4>\n\n\n

Wenn dein Projekt per Composer gemanagt wird (z. B. Bedrock): Pr\u00fcfe, ob roots\/wp-password-bcrypt<\/code> in composer.json<\/code> h\u00e4ngt. Sobald du auf WordPress 6.8+ bist, kannst du das Dependency entfernen und anschlie\u00dfend deployen. Laut Roots sind keine zus\u00e4tzlichen Schritte f\u00fcr bestehende Passw\u00f6rter notwendig.<\/p>\n\n<\/div>\n\n\n\n

Was Roots mit dem Projekt macht (Abk\u00fcndigung)<\/h2>\n\n\n\n

Roots stellt das Paket nicht \u201eeinfach nur\u201c leise ab, sondern zieht einen klaren Schlussstrich. Geplant bzw. angek\u00fcndigt sind drei Schritte:<\/p>\n\n\n\n