Ga naar inhoud
Български Čeština Dansk Deutsch Eesti Ελληνικά English Español Français Hrvatski Italiano Latviešu Lietuvių Magyar Nederlands Polski Português Română Slovenčina Slovenščina Suomi Svenska
HelloBlog
WordPress 6.8 maakt bcrypt standaard: tijd om wp-password-bcrypt uit je stack te halen
Hannah Turing
Hannah Turing 2025. February 20. · 4 min read

WordPress 6.8 maakt bcrypt standaard: tijd om wp-password-bcrypt uit je stack te halen

wordpress ecosysteem bcrypt bedrock beveiliging composer wordpress

WordPress wachtwoorden zijn jarenlang een punt geweest waar je als developer liever zelf net wat extra’s regelde. Niet omdat core het “slecht” deed, maar omdat modern password hashing nu eenmaal een moving target is en WordPress extreem veel legacy moet ondersteunen. Met WordPress 6.8 verandert dat: bcrypt wordt de standaard hashingmethode in core. Dat is goed nieuws voor de security baseline van WordPress — en het betekent meteen dat een bekende workaround overbodig wordt.

Gebruik je in je project (vaak via Composer/Bedrock) het pakket wp-password-bcrypt van Roots? Dan is dit het moment om je dependency-lijst op te schonen. Roots heeft aangekondigd dat ze het pakket gaan uitfaseren nu WordPress zelf bcrypt omarmt.

Even scherp: wat is bcrypt (en waarom wil je dit)?

bcrypt is een password hashing-algoritme dat ontworpen is om traag te zijn (in de goede zin). Dat maakt brute-force aanvallen veel duurder, zeker als je database ooit lekt. In tegenstelling tot “snelle” hashes helpt bcrypt je om de impact van credential stuffing en offline cracking te beperken, omdat elke gok meer CPU kost.

In WordPress-land draaide dit onderwerp vaak om de balans tussen backwards compatibility, performance op shared hosting en het upgraden van security zonder bestaande installaties te breken. Dat bcrypt nu standaard in core komt, is een duidelijke stap vooruit: een sterkere default zonder dat jij er als sitebouwer of agency een extra plugin of mu-plugin voor hoeft te onderhouden.

Wat gebeurt er met wp-password-bcrypt?

Roots introduced wp-password-bcrypt ooit om WordPress-projecten sneller naar een modernere hashing-setup te trekken, ruim voordat core die stap maakte. Met WordPress 6.8 wordt die extra laag in de praktijk redundant. Roots heeft daarom aangekondigd dat ze het pakket gaan afbouwen.

  • Het pakket wordt als abandoned gemarkeerd op Packagist.
  • Verwijzingen worden verwijderd uit Bedrock en gerelateerde documentatie.
  • De GitHub-repository wordt gearchiveerd.

Wat betekent dit concreet voor jouw WordPress project?

De belangrijkste praktische boodschap: draait je site op WordPress 6.8 of hoger, dan heb je wp-password-bcrypt niet meer nodig. Je kunt het pakket verwijderen zonder dat je een aparte migratie hoeft te plannen.

Belangrijk detail: volgens Roots blijven bestaande wachtwoorden gewoon werken. WordPress core neemt de afhandeling van bcrypt (waar van toepassing) over, waardoor je niet ineens een “mass reset password”-moment creëert.

Waarom dit zo’n fijne wijziging is

Minder moving parts in je auth-stack: geen extra package dat diep in login/verify haakt, minder onderhoud, minder kans op edge cases bij upgrades — terwijl je security baseline omhoog gaat.

Hoe verwijder je wp-password-bcrypt (typische Bedrock/Composer setup)

De meeste teams die dit gebruiken, hebben het als Composer dependency opgenomen. Dan is opruimen vooral dependency management + even checken of er geen mu-plugin of autoload entry achterblijft.

  1. Controleer of je project daadwerkelijk op WordPress 6.8+ zit (en plan de core update als dat nog niet zo is).
  2. Verwijder roots/wp-password-bcrypt uit je composer.json (of gebruik composer remove).
  3. Deploy, en verifieer dat login, password reset en user creation flows normaal werken.
# in je projectroot
composer remove roots/wp-password-bcrypt

# optioneel: check je dependency tree
composer why roots/wp-password-bcrypt || true

Let op bij “handmatige” integraties

Sommige projecten hebben ooit custom code of een mu-plugin toegevoegd rondom password hashing. Als je niet via Bedrock standaardconfig werkt, zoek dan even op wp-password-bcrypt in je repo om hidden glue code te verwijderen.

Wat kun je verwachten bij upgrades en support?

Omdat Roots wp-password-bcrypt als abandoned gaat markeren en de repository archiveert, moet je het zien als “klaar en afgesloten”. Dat is op zichzelf geen probleem — het is juist het signaal dat core het stokje heeft overgenomen. Het mooie is: je hoeft dus niet op zoek naar een alternatief pakket, zolang je WordPress 6.8+ runt.

Samengevat

  • WordPress 6.8 zet bcrypt neer als standaard password hashing in core.
  • Gebruik je wp-password-bcrypt? Dan is het vanaf 6.8 in principe overbodig.
  • Je kunt het pakket verwijderen zonder wachtwoordmigratie; bestaande wachtwoorden blijven werken (volgens de aankondiging).
  • Roots markeert het pakket als abandoned, haalt het uit Bedrock-documentatie en archiveert de repo.

Referenties / Bronnen

Hannah Turing

Hannah Turing

WordPress-ontwikkelaar en technisch schrijver bij HelloWP. Ik help ontwikkelaars betere websites te bouwen met moderne tools zoals Laravel, Tailwind CSS en het WordPress-ecosysteem. Gepassioneerd door schone code en developer experience.

Alle berichten

Meer van Hannah Turing

CVE-2026-23550 in WordPress-plugin Modular DS: actieve aanvallen via unauthenticated admin login CVE-2026-23550 in WordPress-plugin Modular DS: actieve aanvallen via unauthenticated admin login WPForms koppelen aan n8n: WordPress-formulieren automatiseren zonder plakwerk WPForms koppelen aan n8n: WordPress-formulieren automatiseren zonder plakwerk Astro sluit zich aan bij Cloudflare: wat verandert er voor developers? Astro sluit zich aan bij Cloudflare: wat verandert er voor developers?

Word lid van de HelloWP-community!

Chat met ons over WordPress en webontwikkeling en deel ervaringen met andere ontwikkelaars.

- leden
- online
Deelnemen

We use cookies to improve your experience. By continuing, you agree to our Cookie Policy.