{"id":125,"date":"2025-02-20T00:00:00","date_gmt":"2025-02-19T23:00:00","guid":{"rendered":"https:\/\/helloblog.io\/it\/wordpress-6-8-bcrypt-rimuovere-wp-password-bcrypt\/"},"modified":"2026-01-20T06:32:46","modified_gmt":"2026-01-20T05:32:46","slug":"wordpress-6-8-bcrypt-rimuovere-wp-password-bcrypt","status":"publish","type":"post","link":"https:\/\/helloblog.io\/it\/wordpress-6-8-bcrypt-rimuovere-wp-password-bcrypt\/","title":{"rendered":"WordPress 6.8 passa a bcrypt: perch\u00e9 puoi rimuovere wp-password-bcrypt senza migrazioni"},"content":{"rendered":"\n

Tra le novit\u00e0 pi\u00f9 interessanti in arrivo con WordPress 6.8 ce n\u2019\u00e8 una che impatta direttamente l\u2019operativit\u00e0 quotidiana di chi gestisce progetti WordPress in modo \u201cmoderno\u201d (Composer, deploy automatizzati, stack tipo Bedrock): il core user\u00e0 bcrypt come metodo di default per l\u2019hashing delle password<\/strong> (hashing = trasformazione irreversibile usata per verificare una password senza salvarla in chiaro).<\/p>\n\n\n\n

Questo cambio rende di fatto superfluo wp-password-bcrypt<\/strong>, il pacchetto di Roots nato anni fa proprio per portare bcrypt su WordPress quando il core non lo offriva ancora. Roots ha annunciato il \u201csunset\u201d del progetto: in pratica, viene messo in pensione perch\u00e9 il problema \u00e8 stato risolto a monte.<\/p>\n\n\n\n

Cosa cambia davvero con WordPress 6.8 (bcrypt nel core)<\/h2>\n\n\n\n

L\u2019adozione di bcrypt nel core \u00e8 un passo avanti importante per l\u2019autenticazione. Dal punto di vista di chi sviluppa e mantiene siti, significa che l\u2019hashing delle password non dipende pi\u00f9 da un plugin o da un mu-plugin esterno<\/strong> per essere robusto: WordPress gestisce direttamente l\u2019uso di bcrypt \u201cdove applicabile\u201d.<\/p>\n\n\n\n

In altre parole: su WordPress 6.8+ il core \u00e8 in grado di occuparsi della verifica delle credenziali e della gestione degli hash senza che tu debba aggiungere un layer ulteriore.<\/p>\n\n\n\n

Se usi wp-password-bcrypt: quando e perch\u00e9 puoi rimuoverlo<\/h2>\n\n\n\n

Se il tuo sito gira su WordPress 6.8 o successivo<\/strong>, secondo l\u2019annuncio di Roots non ti serve pi\u00f9 wp-password-bcrypt<\/strong>. La parte pi\u00f9 comoda \u00e8 questa: puoi rimuovere il pacchetto in sicurezza<\/strong>, perch\u00e9 le password esistenti continuano a funzionare<\/strong> e non \u00e8 richiesto alcun passaggio di migrazione manuale.<\/p>\n\n\n\n

\n\n

Punto chiave per chi fa manutenzione<\/h4>\n\n\n

Su WordPress 6.8+ puoi eliminare wp-password-bcrypt senza migrare gli utenti: il core gestisce l\u2019autenticazione e gli hash in modo trasparente.<\/p>\n\n<\/div>\n\n\n\n

Cosa far\u00e0 Roots con il pacchetto<\/h2>\n\n\n\n

Roots allinea il progetto a questa evoluzione del core con una serie di mosse coerenti con un pacchetto diventato non pi\u00f9 necessario:<\/p>\n\n\n\n