{"id":117,"date":"2025-02-20T00:00:00","date_gmt":"2025-02-19T23:00:00","guid":{"rendered":"https:\/\/helloblog.io\/pl\/wordpress-6-8-bcrypt-wp-password-bcrypt\/"},"modified":"2026-01-20T06:32:50","modified_gmt":"2026-01-20T05:32:50","slug":"wordpress-6-8-bcrypt-wp-password-bcrypt","status":"publish","type":"post","link":"https:\/\/helloblog.io\/pl\/wordpress-6-8-bcrypt-wp-password-bcrypt\/","title":{"rendered":"WordPress 6.8 przechodzi na bcrypt: co to oznacza dla projekt\u00f3w z wp-password-bcrypt?"},"content":{"rendered":"\n

W ekosystemie WordPressa rzadko zdarza si\u0119 zmiana, kt\u00f3ra jednocze\u015bnie poprawia bezpiecze\u0144stwo i upraszcza utrzymanie projektu. WordPress 6.8 ma w\u0142a\u015bnie taki moment: rdze\u0144 ma u\u017cywa\u0107 bcrypt<\/code> jako domy\u015blnej metody haszowania hase\u0142 u\u017cytkownik\u00f3w. To istotne, bo w wielu nowocze\u015bniejszych wdro\u017ceniach (szczeg\u00f3lnie opartych o Roots\/Bedrock) ten temat by\u0142 \u201e\u0142atany\u201d zewn\u0119trznie paczk\u0105 wp-password-bcrypt<\/code>.<\/p>\n\n\n\n

Poni\u017cej rozk\u0142adam na czynniki pierwsze, co ta zmiana oznacza praktycznie: dla istniej\u0105cych instalacji, dla deploy\u00f3w, dla zale\u017cno\u015bci w Composerze i dla zespo\u0142\u00f3w, kt\u00f3re od lat polega\u0142y na tym dodatku.<\/p>\n\n\n\n

Co si\u0119 zmienia w WordPress 6.8? (bcrypt w core)\ufeff<\/h2>\n\n\n\n

Zgodnie z zapowiedzi\u0105 zespo\u0142u WordPress Core, od wersji 6.8 bcrypt<\/code> ma by\u0107 standardem w rdzeniu do haszowania hase\u0142. bcrypt<\/code> to sprawdzony, celowo \u201ekosztowny\u201d algorytm haszuj\u0105cy (z wbudowan\u0105 sol\u0105), zaprojektowany tak, \u017ceby utrudnia\u0107 ataki brute force i masowe \u0142amanie hashy w razie wycieku bazy.<\/p>\n\n\n\n

W praktyce oznacza to, \u017ce poprawa bezpiecze\u0144stwa logowania i przechowywania hase\u0142 przestaje by\u0107 czym\u015b, co musisz dowozi\u0107 pluginem\/paczk\u0105. WordPress ma to zapewni\u0107 sam.<\/p>\n\n\n\n

Dlaczego wp-password-bcrypt przestaje by\u0107 potrzebne?<\/h2>\n\n\n\n

wp-password-bcrypt<\/code> od Roots by\u0142o odpowiedzi\u0105 na realny problem: przez d\u0142ugi czas WordPress nie oferowa\u0142 r\u00f3wnie mocnego haszowania hase\u0142 w standardzie, wi\u0119c cz\u0119\u015b\u0107 zespo\u0142\u00f3w wdra\u017ca\u0142a bcrypt \u201ebokiem\u201d. Ten pakiet robi\u0142 to w spos\u00f3b mo\u017cliwie bezbolesny dla aplikacji.<\/p>\n\n\n\n

Skoro jednak WordPress 6.8 (i nowsze) ma natywnie obs\u0142ugiwa\u0107 bcrypt, dodatkowa warstwa staje si\u0119 zb\u0119dna. Z punktu widzenia utrzymania projektu to dobra wiadomo\u015b\u0107: mniej zale\u017cno\u015bci, mniej potencjalnych konflikt\u00f3w i mniej element\u00f3w, kt\u00f3re trzeba audytowa\u0107.<\/p>\n\n\n\n

Najwa\u017cniejsze: czy trzeba migrowa\u0107 has\u0142a u\u017cytkownik\u00f3w?<\/h2>\n\n\n\n

Nie. Je\u015bli Twoja strona dzia\u0142a na WordPressie 6.8 lub nowszym, mo\u017cesz usun\u0105\u0107 wp-password-bcrypt<\/code> bez wykonywania migracji hase\u0142. Istniej\u0105ce has\u0142a nadal b\u0119d\u0105 dzia\u0142a\u0107, a rdze\u0144 WordPressa ma przej\u0105\u0107 uwierzytelnianie i obs\u0142ug\u0119 bcrypt tam, gdzie to w\u0142a\u015bciwe.<\/p>\n\n\n\n

\n\n

Dobra wiadomo\u015b\u0107 dla zespo\u0142\u00f3w utrzymaniowych<\/h4>\n\n\n

Brak migracji = brak okna serwisowego, brak reset\u00f3w hase\u0142 i mniejsze ryzyko operacyjne przy aktualizacji.<\/p>\n\n<\/div>\n\n\n\n

Co planuje Roots wzgl\u0119dem wp-password-bcrypt?<\/h2>\n\n\n\n

Roots oficjalnie \u201ewygasza\u201d pakiet, bo jego rola zosta\u0142a przej\u0119ta przez core WordPressa. W komunikacie zapowiedziano trzy konkretne kroki po stronie projektu:<\/p>\n\n\n\n