WordPress 6.8: το bcrypt γίνεται default και το wp-password-bcrypt μπαίνει στο «ράφι»

Μία από τις πιο ουσιαστικές (και πρακτικές) βελτιώσεις που έρχονται με το WordPress 6.8 είναι ότι το core υιοθετεί επίσημα το bcrypt ως προεπιλεγμένη μέθοδο για password hashing. Για όσους τρέχουν WordPress σε πιο «μοντέρνα» setups (Bedrock, Composer-based deployments κ.λπ.), αυτό έχει και ένα άμεσο αποτέλεσμα: το πακέτο wp-password-bcrypt της Roots δεν χρειάζεται πλέον.

Παρακάτω θα δούμε τι αλλάζει στην πράξη, τι σημαίνει για υπάρχοντα sites και ποια είναι τα επόμενα βήματα αν το έχεις ήδη στο project σου.

Τι αλλάζει στο WordPress 6.8 με τα passwords

Το WordPress ιστορικά είχε περιορισμούς στον τρόπο που κάνει hashing τους κωδικούς. Το bcrypt είναι ένας αλγόριθμος hashing σχεδιασμένος για passwords, με κόστος (work factor) που κάνει τα brute-force πολύ ακριβότερα. Με το 6.8, σύμφωνα με την ανακοίνωση του core team, το bcrypt γίνεται το default για password hashing στο WordPress.

Το σημαντικό εδώ δεν είναι μόνο το «βάλαμε καλύτερο hashing», αλλά ότι η βελτίωση μπαίνει στο core: δεν χρειάζεται plugin ή drop-in πακέτο για να έχεις ισχυρότερο password storage.

Γιατί υπήρχε το wp-password-bcrypt (και γιατί πλέον δεν χρειάζεται)

Το wp-password-bcrypt ήταν μια λύση της Roots για να φέρει καλύτερο password hashing σε WordPress εγκαταστάσεις πριν το υποστηρίζει το core. Σε Composer/Bedrock projects, τέτοια packages ήταν συχνά ο πιο «καθαρός» τρόπος να αναβαθμίσεις την ασφάλεια authentication χωρίς να περιμένεις αλλαγές στον πυρήνα.

Τώρα που το WordPress 6.8 το προσφέρει εγγενώς, το πακέτο ουσιαστικά γίνεται περιττό.

Τι σημαίνει αυτό για το site σου (η ουσία)

1. Αν τρέχεις WordPress 6.8 ή νεότερο, δεν χρειάζεσαι πια το wp-password-bcrypt.
2. Μπορείς να το αφαιρέσεις με ασφάλεια και οι υπάρχοντες κωδικοί συνεχίζουν να δουλεύουν.
3. Δεν απαιτείται migration ή reset κωδικών: το core αναλαμβάνει «ομαλά» το authentication με bcrypt όπου εφαρμόζεται.

Τι θα κάνει η Roots με το πακέτο

Η Roots, για να ευθυγραμμιστεί με την αλλαγή στο WordPress core, ανακοίνωσε ότι θα προχωρήσει σε συγκεκριμένες κινήσεις γύρω από το wp-password-bcrypt:

• Θα επισημανθεί ως abandoned στο Packagist.
• Θα αφαιρεθούν οι αναφορές από το Bedrock και την σχετική τεκμηρίωση.
• Το GitHub repository θα αρχειοθετηθεί.

Πρακτικός οδηγός: πώς να το αφαιρέσεις σε Composer/Bedrock setup

Αν έχεις project που βασίζεται σε Composer (π.χ. Bedrock), η αφαίρεση είναι τυπικά straightforward. Το μόνο προαπαιτούμενο είναι να έχεις αναβαθμίσει (ή να προγραμματίζεις αναβάθμιση) σε WordPress 6.8+.

1. Επιβεβαίωσε ότι το site θα τρέχει σε WordPress 6.8+ (π.χ. μέσω της ρύθμισης core version / updates πολιτικής στο project σου).
2. Αφαίρεσε το πακέτο από το Composer.
3. Κάνε deploy και έλεγξε login flows (wp-login.php, REST auth αν έχεις custom, XML-RPC αν χρησιμοποιείται, εφαρμογές τρίτων).

composer remove roots/wp-password-bcrypt

composer remove roots/wp-password-bcrypt

Τι να προσέξεις σε περιβάλλοντα με πολλά sites/πελάτες

Αν διαχειρίζεσαι πολλαπλά WordPress projects, το βασικό είναι να μην αφαιρέσεις το wp-password-bcrypt «μαζικά» σε sites που δεν έχουν πάει ακόμη σε 6.8. Το σωστό μοτίβο είναι: πρώτα αναβάθμιση core και μετά καθαρισμός dependencies.

• Κράτα inventory ποια projects είναι ήδη σε 6.8+.
• Αν έχεις διαφορετικά release trains, σύνδεσε την αφαίρεση του πακέτου με το milestone του WordPress 6.8.
• Σε environments με staging, κάνε έλεγχο authentication end-to-end πριν το production deploy.

Συμπέρασμα

Το WordPress 6.8 κάνει ένα καθαρό βήμα μπροστά στην ασφάλεια του authentication υιοθετώντας bcrypt στο core. Για όσους είχαν επενδύσει στο wp-password-bcrypt (ιδίως μέσω Bedrock), η αλλαγή μεταφράζεται σε λιγότερη πολυπλοκότητα στο stack: αφαιρείς ένα dependency, χωρίς migrations και χωρίς να «σπάσεις» τους υπάρχοντες κωδικούς—αρκεί να είσαι σε 6.8 ή νεότερο.