WordPress 6.8 tekee bcryptistä oletuksen – mitä se tarkoittaa wp-password-bcryptiä käyttäville?

WordPressin autentikointi on pitkään ollut yksi niistä osa-alueista, joissa ekosysteemi on paikannut corea lisäpalikoilla. Roots’in wp-password-bcrypt on ollut tästä hyvä esimerkki: Composer-paketti, joka toi bcrypt-hashauksen WordPressiin ennen kuin core tuki sitä kunnolla.

Tilanne muuttuu WordPress 6.8:n myötä. Julkisten suunnitelmien mukaan bcryptistä tulee WordPress coren oletus salasanahashaukselle, mikä tekee wp-password-bcrypt-paketista käytännössä tarpeettoman uudemmissa asennuksissa.

Mikä muuttuu WordPress 6.8:ssa? (bcrypt coreen)

bcrypt on salasanahashausalgoritmi, joka on suunniteltu hitaaksi ja siten kalliiksi brute force -hyökkäyksiä vastaan. Kun WordPress käyttää bcryptiä oletuksena, se parantaa kirjautumisen tietoturvaa ilman, että sinun täytyy asentaa erillistä pluginia tai Composer-riippuvuutta.

Roots viittaa WordPressin core-ilmoitukseen, jonka mukaan WordPress 6.8 käyttää bcryptiä salasanahashaukseen. Käytännön kannalta tärkein seuraus on se, että aiemmin bcryptin tuomiseksi tarvittu wp-password-bcrypt jää pois pelistä, kun sivusto pyörii 6.8:ssa tai uudemmassa.

Jos käytät wp-password-bcryptiä: mitä sinun pitää tehdä?

Jos sivustosi käyttää WordPress 6.8:aa tai uudempaa, et enää tarvitse wp-password-bcrypt-pakettia. Roots’in viesti on selkeä: paketin voi poistaa turvallisesti, eikä erillistä salasanamigraatiota tarvita.

Tämä on monelle se kriittinen kysymys: “katkeaako vanhojen käyttäjien kirjautuminen?” Tiedotteen mukaan ei katkea. Olemassa olevat salasanat toimivat edelleen, ja WordPress core hoitaa autentikoinnin bcryptillä silloin kun se on sovellettavissa.

Käytännön poistosiivous (Composer/Bedrock-tyyli)

Monessa modernissa WordPress-projektissa (esim. Bedrock) wp-password-bcrypt on tullut mukaan Composer-riippuvuutena. Poiston idea on yksinkertainen: päivitä WordPress 6.8+:aan ja poista paketti riippuvuuksista. Tarkka komento riippuu projektistasi, mutta tavoitteena on sama: ettei tuotantoon jää turhaa, abandoned-tilaan menevää riippuvuutta.

Mitä Roots tekee paketille?

Roots kertoo vievänsä muutoksen loppuun myös omassa ylläpidossaan. Konkreettisesti tämä tarkoittaa:

• wp-password-bcrypt merkitään Packagistissa tilaan abandoned
• Viittaukset poistetaan Bedrockista ja siihen liittyvästä dokumentaatiosta
• GitHub-repositorio arkistoidaan

Tämä on hyvä signaali myös ylläpidon näkökulmasta: vaikka paketti ei “rikki” olisi, abandoned-riippuvuudet alkavat ajan myötä lisätä riskiä (esim. yhteensopivuus, turhat integraatiopisteet, epäselvä ylläpitovastuu).

Miksi tämä on oikeasti iso juttu WordPress-tietoturvalle?

WordPressin vahvuus on laaja ekosysteemi, mutta autentikointi ja salasanahallinta ovat asioita, joissa core-tason parannus on lähes aina parempi kuin erillinen lisäosa. Kun bcrypt tulee oletukseksi, koko asennuskanta hyötyy: pienemmät sivustot saavat paremman suojan “ilmaiseksi” ja isot projektit voivat yksinkertaistaa stackiaan.

Roots’in wp-password-bcrypt oli aikanaan fiksu stopgap-ratkaisu. Nyt kun core tekee saman työn, paras kehittäjäkokemus syntyy siitä, että poistetaan ylimääräinen palikka ja annetaan WordPressin hoitaa se, mikä sille kuuluu.

Yhteenveto

1. WordPress 6.8 tuo bcryptin oletukseksi salasanahashaukseen (core-tasolla).
2. Jos sivustosi on WordPress 6.8 tai uudempi, wp-password-bcrypt on tarpeeton ja sen voi poistaa.
3. Poisto ei Roots’in mukaan vaadi salasanamigraatiota: olemassa olevat salasanat toimivat edelleen.
4. Roots merkitsee paketin abandoned-tilaan, poistaa viittaukset Bedrockista ja arkistoi repositorion.