{"id":121,"date":"2025-02-20T00:00:00","date_gmt":"2025-02-19T23:00:00","guid":{"rendered":"https:\/\/helloblog.io\/hr\/wordpress-6-8-bcrypt-wp-password-bcrypt\/"},"modified":"2026-01-20T06:33:04","modified_gmt":"2026-01-20T05:33:04","slug":"wordpress-6-8-bcrypt-wp-password-bcrypt","status":"publish","type":"post","link":"https:\/\/helloblog.io\/hr\/wordpress-6-8-bcrypt-wp-password-bcrypt\/","title":{"rendered":"WordPress 6.8 prelazi na bcrypt: vrijeme je da makne\u0161 wp-password-bcrypt iz projekta"},"content":{"rendered":"\n

Godinama je jedna od \u010de\u0161\u0107ih zamjerki WordPressu bila pri\u010da oko hashiranja lozinki: core je dugo vremena koristio mehanizme koji su danas jednostavno ispod o\u010dekivanja za moderne aplikacije. Zbog toga su se pojavila rje\u0161enja poput Rootsovog paketa wp-password-bcrypt<\/code>, koji je \u201czakrpao\u201d problem na na\u010din koji je bio pragmati\u010dan i relativno bezbolan za postoje\u0107e instalacije.<\/p>\n\n\n\n

S WordPressom 6.8 situacija se mijenja iz temelja. Prema najavi na Make WordPress Core, bcrypt postaje zadani (default) algoritam za hashiranje lozinki u samom WordPress coreu. To je velika sigurnosna nadogradnja, ali i signal da su vanjski \u201cpatch\u201d paketi poput wp-password-bcrypt<\/code> odsad suvi\u0161ni.<\/p>\n\n\n\n

\u0160to se konkretno mijenja u WordPressu 6.8<\/h2>\n\n\n\n

bcrypt je provjeren algoritam za pohranu lozinki koji je dizajniran da bude spor i otporan na brute-force napade (uz konfigurabilan \u201ccost\u201d). U praksi, to zna\u010di da je kompromitiranje baze s hashiranim lozinkama osjetno te\u017ee nego kod br\u017eih, starijih pristupa.<\/p>\n\n\n\n

Najbitniji dio pri\u010de: WordPress 6.8 (prema objavi) ugra\u0111uje bcrypt u core i koristi ga kao zadanu metodu za hashiranje korisni\u010dkih lozinki. Time WordPress autentikacija postaje modernija bez dodatnih pluginova ili Composer paketa.<\/p>\n\n\n\n

Za\u0161to wp-password-bcrypt ide u \u201csunset\u201d<\/h2>\n\n\n\n

Rootsov wp-password-bcrypt<\/code> je nastao upravo zato da WordPress instalacije dobiju ja\u010de hashiranje prije nego \u0161to to do\u0111e u core. Kad core preuzme istu odgovornost, dodatni paket postaje redundantna komponenta koja samo pove\u0107ava povr\u0161inu odr\u017eavanja: jo\u0161 jedan dependency, jo\u0161 jedna potencijalna to\u010dka konflikta i jo\u0161 jedan element koji treba pratiti kroz updateove.<\/p>\n\n\n\n

Roots je zato najavio da \u0107e, s obzirom na WordPress 6.8, krenuti s ga\u0161enjem (sunsetting) paketa:<\/p>\n\n\n\n

    \n\n
  • na Packagistu \u0107e wp-password-bcrypt<\/code> biti ozna\u010den kao abandoned<\/strong><\/li>\n\n\n
  • reference \u0107e biti uklonjene iz Bedrocka i povezane dokumentacije<\/li>\n\n\n
  • GitHub repozitorij \u0107e biti arhiviran<\/li>\n\n<\/ul>\n\n\n\n

    Imam WordPress 6.8+ \u2014 mogu li samo maknuti paket?<\/h2>\n\n\n\n

    Da. Ako ti je site na WordPressu 6.8 ili novijem, prema Rootsovoj objavi wp-password-bcrypt<\/code> vi\u0161e nije potreban i mo\u017ee\u0161 ga sigurno ukloniti. Bitno: ne treba\u0161 raditi nikakvu migraciju lozinki. Postoje\u0107e lozinke nastavljaju raditi, a WordPress core preuzima autentikaciju i koristi bcrypt gdje je primjenjivo.<\/p>\n\n\n\n

    \n\n

    Prakti\u010dna poruka za deploy<\/h4>\n\n\n

    Najve\u0107a dobit je \u0161to mo\u017ee\u0161 pojednostaviti dependency stablo: manje paketa, manje mogu\u0107ih edge-caseova i jasnija sigurnosna pri\u010da jer je sve u coreu.<\/p>\n\n<\/div>\n\n\n\n

    Kako to izgleda u Bedrock\/Composer projektima<\/h2>\n\n\n\n

    Ako si u Bedrocku dodavao roots\/wp-password-bcrypt<\/code> kroz Composer, promjena je tipi\u010dno vrlo jednostavna: ukloniti dependency i deployati kao i ina\u010de. Roots je najavio da \u0107e i sami ukloniti reference iz Bedrocka i dokumentacije, \u0161to je dobar znak da se \u201cmainstream\u201d put modernih WordPress projekata pojednostavljuje.<\/p>\n\n\n\n

    <\/circle><\/circle><\/circle><\/g><\/svg><\/span>