WordPress 6.8 pereina prie bcrypt: kodėl galima ramiai atsisakyti wp-password-bcrypt

WordPress autentifikacijos saugumas ilgą laiką buvo tema, kurioje bendruomenė judėjo mažais žingsniais: branduolys keitėsi atsargiai, o projektai, kuriems svarbus saugumas, dažnai remdavosi papildomais sprendimais. Vienas iš tokių sprendimų buvo Roots komandos paketas wp-password-bcrypt, leidęs WordPress instaliacijose naudoti bcrypt slaptažodžių maišymui (hashing) dar iki tol, kol tai atsirado core’e.

Pagal Roots paskelbtą informaciją, su artėjančiu WordPress 6.8 leidimu situacija iš esmės keičiasi: bcrypt oficialiai tampa numatytuoju slaptažodžių maišos metodu WordPress branduolyje. Tai reiškia dvi praktines išvadas: WordPress prisijungimai tampa saugesni „out of the box“, o wp-password-bcrypt daugeliui projektų nebeturi prasmės.

Kas keičiasi WordPress 6.8: bcrypt kaip numatytasis hashing

bcrypt yra plačiai naudojamas slaptažodžių maišos algoritmas, sukurtas būtent slaptažodžiams: jis yra lėtas ir turi „cost“ parametrą, todėl apsunkina bruteforce atakas, net jei užpuolikas gauna duomenų bazėje esančias maišas. Tai nėra sidabrinė kulka, bet tai labai konkretus ir apčiuopiamas pagerinimas palyginus su istoriškai naudotais greitesniais metodais.

Svarbiausia praktinė detalė: WordPress 6.8 branduolys pats „tvarkingai“ pasirūpina autentifikacija ten, kur galima taikyti bcrypt. Kitaip tariant, tau nebereikia papildomo paketo vien tam, kad turėtum bcrypt slaptažodžiams.

Ką daryti, jei šiuo metu naudoji wp-password-bcrypt?

Jei tavo svetainė veikia su WordPress 6.8 ar naujesne versija, wp-password-bcrypt gali būti pašalintas. Roots pabrėžia kelis dalykus, kurie dažniausiai kelia klausimų komandose ir pas klientus:

• Papildomų migracijų nereikia – esami vartotojų slaptažodžiai ir toliau veiks.
• Nereikia priverstinai „perhashinti“ ar resetinti slaptažodžių.
• WordPress branduolys perima atsakomybę ir naudoja bcrypt ten, kur taikoma.

Kaip tai atrodo projektuose su Composer (Bedrock ir pan.)

Daugelyje modernių WordPress projektų (ypač Bedrock ekosistemoje) wp-password-bcrypt dažniausiai atsiranda kaip Composer priklausomybė. WordPress 6.8 kontekste logika paprasta: jei tavo runtime aplinka jau atnaujinta, tą priklausomybę galima išimti iš composer.json ir atitinkamai paleisti priklausomybių atnaujinimą (pvz., composer update). Konkretūs veiksmai priklauso nuo tavo repo politikos (lock failo tvarkymas, CI, deploy), bet pati idėja – pašalinti nebereikalingą paketą.

Kas nutiks pačiam wp-password-bcrypt paketui?

Roots savo įraše nurodo aiškų planą, kad paketas pereina į užbaigimo (sunset) fazę. Tai reiškia, kad ekosistemoje jis bus formaliai „uždarytas“ ir neberekomenduojamas naujiems projektams:

• Packagist’e wp-password-bcrypt bus pažymėtas kaip abandoned (nebepalaikomas).
• Iš Bedrock ir susijusios dokumentacijos bus pašalintos nuorodos į šį paketą.
• GitHub repozitorija bus archyvuota.

Šitas sprendimas yra visiškai logiškas: kai funkcionalumas tampa branduolio dalimi, papildomas paketas tik didina priežiūros kaštus ir riziką (daugiau kodų kelių, daugiau suderinamumo klausimų, daugiau atnaujinimų ciklų).

Ką tai reiškia saugumo prasme WordPress projektams?

Didžiausias laimėjimas – saugumo bazė kyla visiems, o ne tik tiems, kurie sąmoningai įsidiegia papildomus sprendimus. Praktikoje tai dažnai sumažina skirtumą tarp „enterprise“ disciplinos projektų ir paprastų turinio svetainių.

Kitas pliusas – mažiau „custom“ autentifikacijos sluoksnių. Kuo mažiau papildomų hook’ų ir perrašymų slaptažodžių tikrinimo kelyje, tuo mažiau netikėtų edge case’ų (ypač kai ateina core atnaujinimai ar hostingo aplinkos pokyčiai).

Trumpa santrauka

1. WordPress 6.8 branduolyje bcrypt tampa numatytuoju slaptažodžių hashing metodu.
2. Jei naudoji WordPress 6.8+ – wp-password-bcrypt nebereikalingas ir gali būti pašalintas.
3. Roots paketą žymi kaip abandoned, šalina iš Bedrock dokumentacijos ir archyvuoja repozitoriją.
4. Esami slaptažodžiai toliau veikia – migracijos žingsnių pagal paskelbimą nereikia.