Pāriet uz saturu
Български Čeština Dansk Deutsch Eesti Ελληνικά English Español Français Hrvatski Italiano Latviešu Lietuvių Magyar Nederlands Polski Português Română Slovenčina Slovenščina Suomi Svenska
HelloBlog
WordPress 6.8 pārslēdzas uz bcrypt: ko darīt ar wp-password-bcrypt Bedrock projektos
Hannah Turing
Hannah Turing 2025. February 20. · 5 min read

WordPress 6.8 pārslēdzas uz bcrypt: ko darīt ar wp-password-bcrypt Bedrock projektos

drošība autentifikācija bcrypt bedrock drošība wordpress

WordPress paroles vēsturiski ir bijušas tēma, kur drošības uzlabojumi ienāk pakāpeniski — īpaši, ja runa ir par hešošanas algoritmu izvēli. Līdz šim, ja gribēji modernāku paroļu aizsardzību WordPress projektā, bieži nācās paļauties uz papildu risinājumiem. Ar WordPress 6.8 situācija mainās: kodols pāriet uz bcrypt kā noklusējuma paroļu hešošanas metodi, un tas ietekmē arī populāru Roots ekosistēmas pakotni wp-password-bcrypt.

Šajā rakstā īsi salikšu pa plauktiņiem, ko nozīmē WordPress 6.8 pāreja uz bcrypt, kāpēc wp-password-bcrypt kļūst lieka, un ko praktiski darīt Bedrock vai citos Composer balstītos WordPress projektos.

Kas mainās WordPress 6.8: bcrypt kļūst par standartu

bcrypt ir paroļu hešošanas algoritms, kas ir plaši izmantots un labi pārbaudīts industrijā. Praktiski tas nozīmē izturīgāku aizsardzību pret brute-force un GPU paātrinātiem uzbrukumiem, jo bcrypt ir apzināti “dārgs” (computationally expensive) un atbalsta darba faktoru (cost), ko var pielāgot.

Saskaņā ar WordPress 6.8 izmaiņām kodolā, bcrypt tiek izmantots kā noklusējums paroļu hešošanai. Tas ir būtisks uzlabojums WordPress autentifikācijā, jo tagad modernāka hešošana ir pieejama bez papildu spraudņiem vai pakotnēm.

Terminoloģija īsumā

Hešošana (hashing) nav šifrēšana: paroli nevar “atšifrēt” atpakaļ. Sistēma glabā hash un pieslēgšanās brīdī salīdzina jaunizveidoto hash ar saglabāto.

Kāpēc wp-password-bcrypt vairs nav vajadzīgs

Roots uzturētā pakotne wp-password-bcrypt savulaik aizpildīja robu: tā ļāva WordPress projektiem izmantot bcrypt jau pirms tas bija pieejams kodolā. Tagad, kad WordPress 6.8 to nodrošina pats, šī pakotne kļūst funkcionāli lieka.

Roots ir paziņojuši, ka līdz ar WordPress 6.8 izlaišanu wp-password-bcrypt tiks faktiski “norakstīts” (sunset): pakotni atzīmēs kā abandoned Packagist, izņems atsauces no Bedrock un saistītās dokumentācijas, kā arī arhivēs GitHub repozitoriju.

Ko tas nozīmē esošiem projektiem (labā ziņa: migrācijas nav)

Svarīgākais punkts: ja tavs saits darbojas ar WordPress 6.8 vai jaunāku, tu vari droši noņemt wp-password-bcrypt. Esošās paroles turpinās strādāt, un nav jāveic nekādas manuālas migrācijas darbības.

Ideja ir vienkārša: WordPress kodols pārņem autentifikāciju un, kur tas ir piemērojams, izmanto bcrypt. Rezultātā papildus pakotne vairs nedod vērtību, bet uztur nevajadzīgu atkarību ķēdi.

Praktiskais ieguvums

Mazāk atkarību Composer projektā, mazāk potenciālu konflikta punktu, mazāk koda, kas jāseko līdzi drošības atjauninājumiem.

Kā rīkoties Bedrock/Composer projektā: droša atkarības noņemšana

Ja izmanto Bedrock vai jebkuru citu WordPress setup, kur spraudņi/mu-plugins vai drošības uzlabojumi tiek pārvaldīti caur Composer, rīcības plāns ir ļoti tiešs.

  1. Pārliecinies, ka produkcijā (un vispirms staging vidē) projekts ir uz WordPress 6.8+.
  2. Atrodi, kur wp-password-bcrypt ir pievienots: parasti tas būs composer.json require sadaļā.
  3. Noņem pakotni ar Composer: composer remove roots/wp-password-bcrypt (vai ekvivalenta komanda, ja pakotne pievienota citādi).
  4. Izvieto izmaiņas vidē, kur vari droši notestēt pieslēgšanos: admin lietotāji, redaktori, WooCommerce klientu konti u.c.
  5. Pārliecinies, ka nav palikušas manuālas integrācijas/bootstraps, kas atsaucas uz šo pakotni (retāk, bet iespējams custom projektos).
# Bedrock/Composer projektā
composer remove roots/wp-password-bcrypt

# Pēc tam parasti seko:
composer install
# un deploy kā ierasts (CI/CD vai manuāli)

Ja tev vēl nav WordPress 6.8

Ja projekts vēl nav atjaunināts uz 6.8, nesteidzies ar noņemšanu produkcijā. Vispirms plāno WordPress core atjauninājumu, pēc tam sakop atkarības.

Ko gaidīt uzturēšanas pusē (Packagist un GitHub izmaiņas)

Roots plāns ir skaidrs: pakotni atzīmēt kā abandoned Packagist, izņemt no Bedrock dokumentācijas un arhivēt repozitoriju. Praktiski tas nozīmē, ka ilgtermiņā nevajadzētu balstīt drošības kritisku autentifikācijas daļu uz pakotni, kurai vairs netiek paredzēta aktīva attīstība vai uzturēšana.

Kopsavilkums

  • WordPress 6.8 kodols izmanto bcrypt kā noklusējuma paroļu hešošanu — tas ir nozīmīgs drošības solis uz priekšu.
  • Roots wp-password-bcrypt līdz ar to kļūst lieks WordPress 6.8+ projektiem.
  • Pakotni var noņemt bez paroļu migrācijas: esošās paroles turpinās strādāt.
  • Roots atzīmēs pakotni kā abandoned un arhivēs repozitoriju, tāpēc atkarību vērts iztīrīt, tiklīdz projekts ir uz 6.8+.

Atsauces / Avoti

Hannah Turing

Hannah Turing

WordPress izstrādātāja un tehniskā rakstniece HelloWP. Es palīdzu izstrādātājiem veidot labākas vietnes ar moderniem rīkiem, piemēram, Laravel, Tailwind CSS un WordPress ekosistēmu. Aizraujos ar tīru kodu un izstrādātāja pieredzi.

Visas publikācijas

Vairāk no Hannah Turing

Modular DS spraudnis ar kritisku CVE tiek aktīvi ekspluatēts: kā pasargāt WordPress vietni no admin piekļuves pārņemšanas Modular DS spraudnis ar kritisku CVE tiek aktīvi ekspluatēts: kā pasargāt WordPress vietni no admin piekļuves pārņemšanas WordPress formu automatizācija ar n8n + WPForms: no iesnieguma līdz darbībai bez manuālas kopēšanas WordPress formu automatizācija ar n8n + WPForms: no iesnieguma līdz darbībai bez manuālas kopēšanas Astro komanda pievienojas Cloudflare: ko tas nozīmē Astro izstrādātājiem Astro komanda pievienojas Cloudflare: ko tas nozīmē Astro izstrādātājiem

Pievienojieties HelloWP kopienai!

Tērzējiet ar mums par WordPress, tīmekļa izstrādi un dalieties pieredzē ar citiem izstrādātājiem.

- biedri
- tiešsaistē
Pievienoties

We use cookies to improve your experience. By continuing, you agree to our Cookie Policy.