Aller au contenu
Български Čeština Dansk Deutsch Eesti Ελληνικά English Español Français Hrvatski Italiano Latviešu Lietuvių Magyar Nederlands Polski Português Română Slovenčina Slovenščina Suomi Svenska
HelloBlog
WordPress 6.8 passe à bcrypt : pourquoi tu peux retirer wp-password-bcrypt sans douleur
Hannah Turing
Hannah Turing 2025. February 20. · 4 min read

WordPress 6.8 passe à bcrypt : pourquoi tu peux retirer wp-password-bcrypt sans douleur

sécurité authentification bcrypt roots sécurité wordpress

Pendant des années, renforcer le stockage des mots de passe sur WordPress passait souvent par des solutions externes (plugins MU, packages Composer, overrides de fonctions). Avec WordPress 6.8, un cap important est franchi : bcrypt devient la méthode de hash (hachage) par défaut dans le core. Et ça change concrètement la donne pour pas mal de stacks modernes, notamment celles basées sur Bedrock/Composer.

Dans l’écosystème Roots, ça se traduit par une décision logique : le package wp-password-bcrypt (qui apportait bcrypt avant que WordPress ne le fasse nativement) devient obsolète à partir de WordPress 6.8.

Rappel : bcrypt, c’est quoi et pourquoi c’est mieux ?

Un hash de mot de passe, ce n’est pas un chiffrement réversible : c’est une empreinte calculée à partir du mot de passe, utilisée pour vérifier une connexion sans jamais stocker le secret en clair. bcrypt est un algorithme de hash pensé spécifiquement pour les mots de passe : il est volontairement coûteux (en temps CPU), ce qui complique fortement les attaques par force brute en cas de fuite de base de données.

Dans WordPress, le sujet est sensible parce que l’authentification est au cœur de l’admin, des APIs, et d’une énorme surface d’attaque (sites très exposés, bots, tentatives de login massives). Le fait que le core adopte bcrypt est donc une amélioration de sécurité très bienvenue.

Ce qui change avec WordPress 6.8

À partir de WordPress 6.8 (et versions ultérieures), tu n’as plus besoin d’ajouter bcrypt “par-dessus” via un package ou un plugin : le core le gère directement.

La conséquence la plus pratique : si ton site tourne en WordPress 6.8+, tu peux retirer wp-password-bcrypt en toute sécurité. D’après l’annonce de Roots, il n’y a pas d’étape de migration à prévoir : les mots de passe existants continuent de fonctionner, et WordPress prend le relais de manière transparente pour l’authentification (et utilise bcrypt quand applicable).

wp-password-bcrypt : statut et fin de vie côté Roots

Roots a confirmé que le package wp-password-bcrypt n’a plus de raison d’être une fois bcrypt intégré au core. Pour aligner l’écosystème, ils prévoient :

  • de marquer wp-password-bcrypt comme abandoned sur Packagist (signal standard côté Composer)
  • de supprimer les références au package dans Bedrock et dans la documentation associée
  • d’archiver le dépôt GitHub du projet

En clair : si ton projet dépend encore du package, c’est le moment de planifier son retrait lors du passage à WordPress 6.8, pour éviter de traîner une dépendance inutile (et bientôt “abandonnée”).

Que faire sur un projet Bedrock/Composer ?

Sur une base Bedrock, wp-password-bcrypt est typiquement une dépendance Composer. La stratégie est simple : vérifier la version de WordPress, puis supprimer la dépendance si tu es en 6.8+.

  1. Mettre à jour WordPress vers 6.8 (ou s’assurer que le déploiement cible est bien en 6.8+)
  2. Retirer roots/wp-password-bcrypt de tes dépendances
  3. Déployer, puis valider un scénario de login (admin + éventuellement utilisateurs front)

Attention au timing

Si tu retires le package avant d’être effectivement en WordPress 6.8+, tu reviens au comportement de hash géré par ta version actuelle de WordPress. Dans un contexte de prod, cale le retrait sur la même release que la mise à niveau WP.

Pourquoi c’est une bonne nouvelle (même si tu n’utilisais pas Roots)

L’intérêt dépasse largement Bedrock. Quand une amélioration de sécurité devient native dans WordPress, elle se diffuse partout : hébergements mutualisés, sites “classiques” sans Composer, vieux projets maintenus a minima… Bref, l’upgrade de sécurité ne dépend plus d’un choix d’architecture ou d’un plugin en plus.

Et côté maintenance, ça réduit aussi la complexité : moins de packages “fondation”, moins de pièces critiques ajoutées au runtime, moins de risques de compatibilité ou de support à long terme.

Résumé opérationnel

  • WordPress 6.8 utilise bcrypt par défaut pour le hash des mots de passe.
  • Si ton site est en 6.8+, tu peux supprimer wp-password-bcrypt sans migration et sans casser les mots de passe existants.
  • Roots va marquer le package comme abandonné, retirer sa mention de Bedrock/docs et archiver le repo GitHub.
  • Le bon réflexe : synchroniser retrait du package et upgrade WordPress dans la même fenêtre de déploiement.

Références / Sources

Hannah Turing

Hannah Turing

Développeuse WordPress et rédactrice technique chez HelloWP. J'aide les développeurs à créer de meilleurs sites web avec des outils modernes comme Laravel, Tailwind CSS et l'écosystème WordPress. Passionnée par le code propre et l'expérience développeur.

Tous les articles

Plus d’articles de Hannah Turing

Faille critique dans Modular DS : une escalade de privilèges WordPress exploitée pour obtenir un accès admin Faille critique dans Modular DS : une escalade de privilèges WordPress exploitée pour obtenir un accès admin Automatiser les formulaires WordPress avec n8n (WPForms) : pipeline sans copier-coller Automatiser les formulaires WordPress avec n8n (WPForms) : pipeline sans copier-coller Astro rejoint Cloudflare : ce que ça change (vraiment) pour les sites orientés contenu Astro rejoint Cloudflare : ce que ça change (vraiment) pour les sites orientés contenu

Rejoignez la communauté HelloWP !

Discutez avec nous de WordPress, du développement web et partagez vos expériences avec d’autres développeurs.

- membres
- en ligne
Rejoindre

We use cookies to improve your experience. By continuing, you agree to our Cookie Policy.