Saltar al contenido
Български Čeština Dansk Deutsch Eesti Ελληνικά English Español Français Hrvatski Italiano Latviešu Lietuvių Magyar Nederlands Polski Português Română Slovenčina Slovenščina Suomi Svenska
HelloBlog
WordPress 6.8 adopta bcrypt por defecto: qué hacer si usabas wp-password-bcrypt
Hannah Turing
Hannah Turing 2025. February 20. · 4 min read

WordPress 6.8 adopta bcrypt por defecto: qué hacer si usabas wp-password-bcrypt

ecosistema wordpress autenticacion bcrypt bedrock seguridad wordpress

Durante años, una de las críticas recurrentes a WordPress en entornos más exigentes de seguridad ha sido su estrategia histórica de password hashing (cómo se almacenan y verifican las contraseñas). La noticia importante es que, según el anuncio de Core, WordPress 6.8 pasará a usar bcrypt como método por defecto para el hash de contraseñas. Esto eleva el nivel de seguridad base sin depender de plugins ni mu-plugins externos.

En paralelo, el equipo de Roots ha comunicado que su paquete wp-password-bcrypt entra en fase de retirada (sunsetting): si tu sitio corre WordPress 6.8 o superior, el paquete deja de aportar valor, porque el propio Core ya cubre ese caso de uso.

Qué significa “bcrypt por defecto” en WordPress 6.8

bcrypt es un algoritmo de hashing diseñado específicamente para contraseñas. A diferencia de hashes rápidos, bcrypt es intencionalmente costoso (computacionalmente) y suele incorporar salt y un factor de coste, lo que lo hace mucho más resistente a ataques por fuerza bruta y a escenarios de filtración de bases de datos.

El punto clave para desarrolladores es este: a partir de WordPress 6.8, el Core manejará el hashing y la verificación de contraseñas con bcrypt cuando corresponda, sin que tengas que “parchear” la autenticación con paquetes adicionales.

Por qué wp-password-bcrypt deja de ser necesario

wp-password-bcrypt (de Roots) nació para resolver una carencia real: elevar el nivel de seguridad de contraseñas en WordPress antes de que el Core ofreciera una alternativa moderna y robusta. Era especialmente común verlo en proyectos con Bedrock o setups gestionados por Composer, donde resulta natural incorporar este tipo de hardening como dependencia.

Con WordPress 6.8 incorporando bcrypt en el propio Core, el paquete pasa a ser redundante. Mantenerlo instalado ya no mejora la seguridad (porque el Core ya lo hace) y, además, añade superficie de mantenimiento innecesaria en tu cadena de dependencias.

Si tu sitio está en WordPress 6.8+: qué cambios debes hacer

Según Roots, si ejecutas WordPress 6.8 o posterior, puedes eliminar wp-password-bcrypt con seguridad. No hay migración manual ni pasos especiales: las contraseñas existentes seguirán funcionando y WordPress se encargará del proceso de forma transparente durante la autenticación.

  1. Actualiza WordPress a 6.8 o superior (según tu proceso habitual de despliegue).
  2. Elimina la dependencia roots/wp-password-bcrypt de tu composer.json y ejecuta composer update o composer remove (según tu flujo).
  3. Revisa tu repo por si tenías documentación interna o scripts que asumían la existencia del paquete (por ejemplo, en playbooks de hardening).
  4. Verifica en staging que los inicios de sesión funcionan con usuarios existentes y que el flujo de reset de contraseña no presenta problemas.

Compatibilidad de contraseñas existentes

El mensaje de Roots es explícito: al quitar wp-password-bcrypt en WordPress 6.8+, no necesitas migrar hashes ni forzar resets de contraseña. WordPress Core mantendrá la compatibilidad y gestionará el uso de bcrypt donde aplique.

Qué pasa con el paquete: estado y mantenimiento

Roots ha detallado tres medidas para reflejar este cambio de escenario:

  • Marcar wp-password-bcrypt como abandoned en Packagist.
  • Eliminar referencias desde Bedrock y su documentación asociada.
  • Archivar el repositorio en GitHub.

En la práctica, esto es una señal clara para equipos que mantienen stacks con Composer: planifica la retirada del paquete si tu baseline ya contempla WordPress 6.8+.

Cómo enfocar la transición en proyectos con Bedrock

En proyectos basados en Bedrock, donde Composer es el “centro de gravedad” del proyecto, es habitual tener dependencias de seguridad bien justificadas. Esta es una buena oportunidad para hacer limpieza: si WordPress Core ya ofrece bcrypt, el paquete se convierte en deuda técnica.

A nivel operativo, lo relevante no es solo quitar la dependencia, sino también alinear la documentación del proyecto (README, runbooks de mantenimiento, auditorías internas) para que nadie intente reinstalarlo por inercia en futuras tareas de hardening.

Resumen para desarrolladores

  • WordPress 6.8, según el anuncio de Core, adopta bcrypt como método de hashing de contraseñas por defecto.
  • Si ya estás en 6.8+, puedes eliminar wp-password-bcrypt sin migraciones ni resets de contraseña.
  • Roots retirará el paquete: abandoned en Packagist, sin referencias en Bedrock y repo archivado.
  • Menos dependencias, menos mantenimiento: la mejora pasa a ser parte del estándar de WordPress.

Referencias / Fuentes

Hannah Turing

Hannah Turing

Desarrolladora WordPress y redactora técnica en HelloWP. Ayudo a los desarrolladores a crear mejores sitios web con herramientas modernas como Laravel, Tailwind CSS y el ecosistema WordPress. Apasionada por el código limpio y la experiencia del desarrollador.

Todas las publicaciones

Más de Hannah Turing

CVE-2026-23550: explotación activa en Modular DS para WordPress permite escalar a admin sin autenticación CVE-2026-23550: explotación activa en Modular DS para WordPress permite escalar a admin sin autenticación Automatiza envíos de formularios en WordPress con n8n + WPForms (sin picar datos a mano) Automatiza envíos de formularios en WordPress con n8n + WPForms (sin picar datos a mano) Astro se integra en Cloudflare: qué cambia (y qué no) para quienes construimos sitios orientados a contenido Astro se integra en Cloudflare: qué cambia (y qué no) para quienes construimos sitios orientados a contenido

¡Únete a la comunidad de HelloWP!

Chatea con nosotros sobre WordPress, desarrollo web y comparte experiencias con otros desarrolladores.

- miembros
- en línea
Unirse

We use cookies to improve your experience. By continuing, you agree to our Cookie Policy.