Preskoči na sadržaj
Български Čeština Dansk Deutsch Eesti Ελληνικά English Español Français Hrvatski Italiano Latviešu Lietuvių Magyar Nederlands Polski Português Română Slovenčina Slovenščina Suomi Svenska
HelloBlog
WordPress 6.8 prelazi na bcrypt: vrijeme je da makneš wp-password-bcrypt iz projekta
Hannah Turing
Hannah Turing 2025. February 20. · 4 min read

WordPress 6.8 prelazi na bcrypt: vrijeme je da makneš wp-password-bcrypt iz projekta

sigurnost autentikacija bcrypt roots sigurnost wordpress

Godinama je jedna od češćih zamjerki WordPressu bila priča oko hashiranja lozinki: core je dugo vremena koristio mehanizme koji su danas jednostavno ispod očekivanja za moderne aplikacije. Zbog toga su se pojavila rješenja poput Rootsovog paketa wp-password-bcrypt, koji je “zakrpao” problem na način koji je bio pragmatičan i relativno bezbolan za postojeće instalacije.

S WordPressom 6.8 situacija se mijenja iz temelja. Prema najavi na Make WordPress Core, bcrypt postaje zadani (default) algoritam za hashiranje lozinki u samom WordPress coreu. To je velika sigurnosna nadogradnja, ali i signal da su vanjski “patch” paketi poput wp-password-bcrypt odsad suvišni.

Što se konkretno mijenja u WordPressu 6.8

bcrypt je provjeren algoritam za pohranu lozinki koji je dizajniran da bude spor i otporan na brute-force napade (uz konfigurabilan “cost”). U praksi, to znači da je kompromitiranje baze s hashiranim lozinkama osjetno teže nego kod bržih, starijih pristupa.

Najbitniji dio priče: WordPress 6.8 (prema objavi) ugrađuje bcrypt u core i koristi ga kao zadanu metodu za hashiranje korisničkih lozinki. Time WordPress autentikacija postaje modernija bez dodatnih pluginova ili Composer paketa.

Zašto wp-password-bcrypt ide u “sunset”

Rootsov wp-password-bcrypt je nastao upravo zato da WordPress instalacije dobiju jače hashiranje prije nego što to dođe u core. Kad core preuzme istu odgovornost, dodatni paket postaje redundantna komponenta koja samo povećava površinu održavanja: još jedan dependency, još jedna potencijalna točka konflikta i još jedan element koji treba pratiti kroz updateove.

Roots je zato najavio da će, s obzirom na WordPress 6.8, krenuti s gašenjem (sunsetting) paketa:

  • na Packagistu će wp-password-bcrypt biti označen kao abandoned
  • reference će biti uklonjene iz Bedrocka i povezane dokumentacije
  • GitHub repozitorij će biti arhiviran

Imam WordPress 6.8+ — mogu li samo maknuti paket?

Da. Ako ti je site na WordPressu 6.8 ili novijem, prema Rootsovoj objavi wp-password-bcrypt više nije potreban i možeš ga sigurno ukloniti. Bitno: ne trebaš raditi nikakvu migraciju lozinki. Postojeće lozinke nastavljaju raditi, a WordPress core preuzima autentikaciju i koristi bcrypt gdje je primjenjivo.

Praktična poruka za deploy

Najveća dobit je što možeš pojednostaviti dependency stablo: manje paketa, manje mogućih edge-caseova i jasnija sigurnosna priča jer je sve u coreu.

Kako to izgleda u Bedrock/Composer projektima

Ako si u Bedrocku dodavao roots/wp-password-bcrypt kroz Composer, promjena je tipično vrlo jednostavna: ukloniti dependency i deployati kao i inače. Roots je najavio da će i sami ukloniti reference iz Bedrocka i dokumentacije, što je dobar znak da se “mainstream” put modernih WordPress projekata pojednostavljuje.

# Uklanjanje paketa iz Composer dependencija
composer remove roots/wp-password-bcrypt

# Standardni koraci nakon toga ovise o tvom workflowu:
# - commit composer.lock
# - deploy
# - provjeri login na stagingu/produkciji

Nakon deploya, fokusiraj se na osnovni smoke test: login/logout, reset lozinke i kreiranje novog korisnika. Ne zato što očekuješ problem, nego zato što je to najbrži način da potvrdiš da je autentikacija očekivano prešla na core implementaciju.

Što ako sam još na WordPressu prije 6.8?

Rootsova objava se eksplicitno veže uz WordPress 6.8 i kasnije. Ako si na starijoj verziji, wp-password-bcrypt i dalje ima smisla u kontekstu “jačeg hashiranja prije core podrške”, ali treba uračunati da je paket na putu prema napuštanju (abandoned) i arhiviranju repozitorija. U praksi, to je još jedan razlog da planiraš upgrade WordPressa — ne samo zbog featurea, nego i zbog sigurnosnih standarda.

Zaključak

WordPress 6.8 s bcryptom kao zadanim hashiranjem lozinki je jedna od onih promjena koje realno podižu sigurnosni baseline cijelog ekosustava. Za timove koji rade modernije WordPress projekte (Bedrock/Composer), to je ujedno i prilika da se riješe jednog dependencya bez gubitka funkcionalnosti: wp-password-bcrypt se može maknuti, a autentikacija nastavlja raditi bez migracija.

Reference / Izvori

Hannah Turing

Hannah Turing

WordPress programerka i tehnička spisateljica u HelloWP-u. Pomažem programerima graditi bolje web stranice s modernim alatima poput Laravela, Tailwind CSS-a i WordPress ekosustava. Strastvena sam prema čistom kodu i iskustvu programera.

Svi članci

Više od Hannah Turing

Kritična ranjivost u WordPress pluginu Modular DS aktivno se zloupotrebljava za admin pristup (CVE-2026-23550) Kritična ranjivost u WordPress pluginu Modular DS aktivno se zloupotrebljava za admin pristup (CVE-2026-23550) Automatizacija WordPress formi s n8n + WPForms: od prijave do workflowa bez ručnog copy/pastea Automatizacija WordPress formi s n8n + WPForms: od prijave do workflowa bez ručnog copy/pastea Astro ulazi u Cloudflare: što to znači za framework, open source i Astro 6 Astro ulazi u Cloudflare: što to znači za framework, open source i Astro 6

Pridružite se HelloWP zajednici!

Razgovarajte s nama o WordPressu, web razvoju i podijelite iskustva s drugim developerima.

- članovi
- online
Pridruži se

We use cookies to improve your experience. By continuing, you agree to our Cookie Policy.