WordPress 6.8 toob bcrypti core’i: mida teha wp-password-bcrypt paketiga?

WordPressi paroolide teema on aastate jooksul olnud klassikaline koht, kus arendajad pidid ise natuke “core’ist ette” mõtlema. Roots’i kogukonnas lahendati see pikalt paketiga wp-password-bcrypt, mis sundis WordPressi kasutama tugevamat paroolide räsimist (hashing). WordPress 6.8 tulekuga jõuab see võimekus lõpuks ametlikult core’i – ja see tähendab, et eraldi paketti pole enam mõtet kaasas tassida.

Mis muutub WordPress 6.8-ga?

WordPress 6.8 (avalduse järgi) hakkab core’is kasutama paroolide räsimiseks bcrypti. bcrypt on paroolihash’ide jaoks laialt kasutatav algoritm, mille suur eelis on see, et see on teadlikult “aeglane” – see teeb brute-force ja GPU-põhised rünnakud oluliselt kallimaks võrreldes vanemate lähenemistega.

Praktiline tagajärg arendaja jaoks: kui su sait jookseb WordPress 6.8 või uuema peal, siis paroolide turvalisem räsimine on nüüd core’i vastutus. See võtab ära vajaduse hoida projektis eraldi paketti, mis sama asja teeb.

Miks wp-password-bcrypt päikeseloojangule läheb?

Roots’i tiim teatas, et wp-password-bcrypt muutub WordPress 6.8 kontekstis üleliigseks ning nad hakkavad paketti aktiivselt lõpetama (sunsetting). Nende plaan hõlmab järgmisi samme:

• Pakett märgitakse Packagistis staatusega abandoned.
• Viited eemaldatakse Bedrockist ja seotud dokumentatsioonist.
• GitHubi repo arhiveeritakse.

Kas ma pean paroole migreerima?

Ei. Teate sisu järgi ei ole vaja ühtegi eraldi migratsiooni ega paroolide “ümberräsimist” käsitsi käivitada. Olemasolevad paroolid jätkavad töötamist ning WordPress core tegeleb autentimisega edasi, kasutades bcrypti seal, kus see on rakendatav.

Soovituslik tegevus arendustiimile (6.8+ saitidel)

Kui sinu tootmiskeskkond on WordPress 6.8 või uuem, on mõistlik dependency’te audit teha ja wp-password-bcrypt projektist välja tõsta. Eesmärk pole ainult “vähem pakette”, vaid ka selgem vastutuspiir: paroolihash on nüüd core’i lahendus.

1. Veendu, et saidil on WordPress 6.8 või uuem (ning uuendus on plaanis ka tootmises, mitte ainult lokaalsetes keskkondades).
2. Leia, kas projekt kasutab roots/wp-password-bcrypt paketti (nt composer.json / composer.lock).
3. Eemalda pakett dependency’te hulgast ja tee tavapärane deploy.
4. Kontrolli sisselogimist ja parooli vahetamist testkasutajaga, et kinnitada autentimisvoog tootmises.

Mida see tähendab WordPressi turvalisuse vaates?

Suur pilt on lihtne: bcrypt core’is tähendab, et parem paroolide räsimine ei ole enam “teadlike tiimide lisakiht”, vaid vaikimisi standard. See vähendab fragmentatsiooni (igaüks eri plugin/pakett), teeb turvaauditid sirgjoonelisemaks ja parandab keskmise WordPressi installatsiooni kaitset ilma, et saidi omanik või arendaja peaks eraldi midagi leidma, valima ja hooldama.

Kokkuvõte

WordPress 6.8 toob bcrypti paroolihashimise ametlikult core’i. Roots’i wp-password-bcrypt oli seni praktiline viis WordPressi autentimist tugevdada, kuid 6.8+ maailmas pole seda enam vaja. Kui su projekt on 6.8 või uuema peal, saad paketi eemaldada ilma paroolide migratsioonita; Roots märgib paketi abandoned’iks, eemaldab viited Bedrockist ning arhiveerib repo.