WordPress 6.8-tól alapértelmezett a bcrypt: mi lesz a wp-password-bcrypt csomaggal?

A WordPress jelszókezelése sokáig tipikusan az a terület volt, ahol a közösség és külsős csomagok próbálták kitömni a core hiányosságait. A WordPress 6.8 kapcsán viszont egy régóta várt változás érkezik: a bejelentés szerint a core alapértelmezett jelszó-hash algoritmusa a bcrypt lesz. Ez a gyakorlatban azt jelenti, hogy a Roots által karbantartott wp-password-bcrypt csomag szerepe lényegében megszűnik.

Mi változik pontosan a WordPress 6.8-ban?

A bcrypt egy kifejezetten jelszavak tárolására tervezett hash-elési megoldás, amelynél a számítási költség (cost) paraméterezhető, így jól skálázható a mai hardverekhez és támadási módszerekhez. A WordPress 6.8 esetén a core (tehát a WordPress maga, külső bővítmény nélkül) a bejelentés szerint bcryptet fog használni jelszó-hash-elésre.

Ez nem csak papíron előrelépés: a gyakorlatban azt jelenti, hogy egy átlagos WordPress telepítés autentikációs rétege érezhetően modernebb alapokra kerül anélkül, hogy külön csomagokkal vagy egyedi megoldásokkal kellene toldozni-foldozni.

Mit jelent ez, ha eddig wp-password-bcrypt-et használtál?

A Roots álláspontja egyértelmű: WordPress 6.8 vagy újabb verzió esetén nincs szükség a wp-password-bcrypt csomagra. Eltávolíthatod, és a meglévő felhasználói jelszavak továbbra is működni fognak – külön migrációs lépések nélkül.

A csomag korábban pont azt a hiányt pótolta, hogy a core-ban nem volt erős, korszerű hash-elés. Ha viszont a WordPress maga kezeli a bcryptet, akkor a külső megoldás feleslegessé válik, és csak extra karbantartási felületet jelent.

Mi lesz a wp-password-bcrypt csomag sorsa?

A Roots a WordPress 6.8-as váltás miatt kivezeti a csomagot, és több, ehhez kapcsolódó lépést is megtesznek:

• A wp-password-bcrypt abandoned státuszt kap Packagist-en (tehát hivatalosan elhagyott csomagként lesz jelölve).
• Kikerülnek rá a hivatkozások a Bedrock repóból és a kapcsolódó dokumentációból.
• A GitHub repository archiválásra kerül.

Bedrock projektek: mire figyelj frissítésnél?

Ha Bedrock-alapú projektet viszel, a változás legkézzelfoghatóbb része az lehet, hogy a csomag és a dokumentációs ajánlások idővel eltűnnek a megszokott helyekről. A logika egyszerű: WordPress 6.8+ mellett a bcrypt már nem „extra”, hanem alap.

Gyakorlati oldalról ez jellemzően két döntést jelent:

1. Ha a projektedet WordPress 6.8-ra (vagy újabbra) frissíted, tervezd be a wp-password-bcrypt kivezetését is.
2. Ha valamiért régebbi WordPress verzión kell maradnod, a forrásanyag nem ír arról, meddig érdemes a csomaggal számolni – de fontos látni, hogy a Roots oldaláról a csomag életciklusa lezárul.

Miért jó hír ez WordPress szempontból?

A legnagyobb nyereség, hogy a korszerű jelszó-hash-elés nem „opcionális keményítés” lesz, hanem a platform része. Ez különösen ott számít, ahol sok webhely üzemeltetése közben nem fér bele, hogy minden projekthez külön security csomagokat válogass, auditálj, frissíts és kompatibilitási teszteket futtass.

A Roots eredeti motivációja is ez volt: a core hiányosságait javítani addig, amíg a WordPress maga nem lép szintet. A 6.8-as váltással ez a cél teljesül, ezért a wp-password-bcrypt fenntartása már nem ad valós hozzáadott értéket.

Összefoglalás fejlesztői szemmel

• A bejelentés szerint a WordPress 6.8 alapból bcryptet használ jelszó-hash-elésre.
• WordPress 6.8+ esetén a wp-password-bcrypt eltávolítható, a meglévő jelszavak továbbra is működnek, és nincs szükség külön migrációra.
• A Roots a csomagot kivezeti: Packagist-en abandoned, Bedrock/docs hivatkozások törlése, GitHub repo archiválása.