{"id":130,"date":"2025-02-20T00:00:00","date_gmt":"2025-02-19T23:00:00","guid":{"rendered":"https:\/\/helloblog.io\/es\/wordpress-6-8-bcrypt-por-defecto-wp-password-bcrypt\/"},"modified":"2026-01-20T06:32:43","modified_gmt":"2026-01-20T05:32:43","slug":"wordpress-6-8-bcrypt-por-defecto-wp-password-bcrypt","status":"publish","type":"post","link":"https:\/\/helloblog.io\/es\/wordpress-6-8-bcrypt-por-defecto-wp-password-bcrypt\/","title":{"rendered":"WordPress 6.8 adopta bcrypt por defecto: qu\u00e9 hacer si usabas wp-password-bcrypt"},"content":{"rendered":"\n

Durante a\u00f1os, una de las cr\u00edticas recurrentes a WordPress en entornos m\u00e1s exigentes de seguridad ha sido su estrategia hist\u00f3rica de password hashing<\/em> (c\u00f3mo se almacenan y verifican las contrase\u00f1as). La noticia importante es que, seg\u00fan el anuncio de Core, WordPress 6.8 pasar\u00e1 a usar bcrypt como m\u00e9todo por defecto para el hash de contrase\u00f1as<\/strong>. Esto eleva el nivel de seguridad base sin depender de plugins ni mu-plugins externos.<\/p>\n\n\n\n

En paralelo, el equipo de Roots ha comunicado que su paquete wp-password-bcrypt<\/code> entra en fase de retirada (sunsetting<\/em>): si tu sitio corre WordPress 6.8 o superior, el paquete deja de aportar valor, porque el propio Core ya cubre ese caso de uso.<\/p>\n\n\n\n

Qu\u00e9 significa \u201cbcrypt por defecto\u201d en WordPress 6.8<\/h2>\n\n\n\n

bcrypt es un algoritmo de hashing dise\u00f1ado espec\u00edficamente para contrase\u00f1as. A diferencia de hashes r\u00e1pidos, bcrypt es intencionalmente costoso (computacionalmente) y suele incorporar salt<\/em> y un factor de coste, lo que lo hace mucho m\u00e1s resistente a ataques por fuerza bruta y a escenarios de filtraci\u00f3n de bases de datos.<\/p>\n\n\n\n

El punto clave para desarrolladores es este: a partir de WordPress 6.8, el Core manejar\u00e1 el hashing y la verificaci\u00f3n de contrase\u00f1as con bcrypt cuando corresponda<\/strong>, sin que tengas que \u201cparchear\u201d la autenticaci\u00f3n con paquetes adicionales.<\/p>\n\n\n\n

Por qu\u00e9 wp-password-bcrypt<\/code> deja de ser necesario<\/h2>\n\n\n\n

wp-password-bcrypt<\/code> (de Roots) naci\u00f3 para resolver una carencia real: elevar el nivel de seguridad de contrase\u00f1as en WordPress antes de que el Core ofreciera una alternativa moderna y robusta. Era especialmente com\u00fan verlo en proyectos con Bedrock o setups gestionados por Composer, donde resulta natural incorporar este tipo de hardening como dependencia.<\/p>\n\n\n\n

Con WordPress 6.8 incorporando bcrypt en el propio Core, el paquete pasa a ser redundante. Mantenerlo instalado ya no mejora la seguridad (porque el Core ya lo hace) y, adem\u00e1s, a\u00f1ade superficie de mantenimiento innecesaria en tu cadena de dependencias.<\/p>\n\n\n\n

Si tu sitio est\u00e1 en WordPress 6.8+: qu\u00e9 cambios debes hacer<\/h2>\n\n\n\n

Seg\u00fan Roots, si ejecutas WordPress 6.8 o posterior<\/strong>, puedes eliminar wp-password-bcrypt<\/code> con seguridad<\/strong>. No hay migraci\u00f3n manual ni pasos especiales: las contrase\u00f1as existentes seguir\u00e1n funcionando<\/strong> y WordPress se encargar\u00e1 del proceso de forma transparente durante la autenticaci\u00f3n.<\/p>\n\n\n\n

    \n\n
  1. Actualiza WordPress a 6.8 o superior (seg\u00fan tu proceso habitual de despliegue).<\/li>\n\n\n
  2. Elimina la dependencia roots\/wp-password-bcrypt<\/code> de tu composer.json<\/code> y ejecuta composer update<\/code> o composer remove<\/code> (seg\u00fan tu flujo).<\/li>\n\n\n
  3. Revisa tu repo por si ten\u00edas documentaci\u00f3n interna o scripts que asum\u00edan la existencia del paquete (por ejemplo, en playbooks de hardening).<\/li>\n\n\n
  4. Verifica en staging que los inicios de sesi\u00f3n funcionan con usuarios existentes y que el flujo de reset de contrase\u00f1a no presenta problemas.<\/li>\n\n<\/ol>\n\n\n\n
    \n\n

    Compatibilidad de contrase\u00f1as existentes<\/h4>\n\n\n

    El mensaje de Roots es expl\u00edcito: al quitar wp-password-bcrypt<\/code> en WordPress 6.8+, no necesitas migrar hashes ni forzar resets de contrase\u00f1a. WordPress Core mantendr\u00e1 la compatibilidad y gestionar\u00e1 el uso de bcrypt donde aplique.<\/p>\n\n<\/div>\n\n\n\n

    Qu\u00e9 pasa con el paquete: estado y mantenimiento<\/h2>\n\n\n\n

    Roots ha detallado tres medidas para reflejar este cambio de escenario:<\/p>\n\n\n\n