{"id":140,"date":"2025-02-20T00:00:00","date_gmt":"2025-02-19T23:00:00","guid":{"rendered":"https:\/\/helloblog.io\/pt\/wordpress-68-bcrypt-por-defeito-wp-password-bcrypt-roots\/"},"modified":"2026-01-20T06:32:53","modified_gmt":"2026-01-20T05:32:53","slug":"wordpress-68-bcrypt-por-defeito-wp-password-bcrypt-roots","status":"publish","type":"post","link":"https:\/\/helloblog.io\/pt\/wordpress-68-bcrypt-por-defeito-wp-password-bcrypt-roots\/","title":{"rendered":"WordPress 6.8 vai usar bcrypt por defeito: o que fazer com o wp-password-bcrypt (Roots)"},"content":{"rendered":"\n

A autentica\u00e7\u00e3o no WordPress sempre foi um tema sens\u00edvel, sobretudo quando olhamos para a evolu\u00e7\u00e3o dos algoritmos de hashing e para o ritmo a que o core adota melhorias estruturais. A novidade \u00e9 que, com o WordPress 6.8<\/strong>, o projeto passa a usar bcrypt como m\u00e9todo padr\u00e3o de hashing de passwords<\/strong> \u2014 uma mudan\u00e7a anunciada pela equipa de Core e que tem impacto direto em stacks modernas baseadas em Composer.<\/p>\n\n\n\n

Na pr\u00e1tica, isto torna obsoleto um velho conhecido de quem trabalha com Roots\/Bedrock: o pacote wp-password-bcrypt<\/code><\/a>, criado para trazer bcrypt para o ecossistema WordPress antes de o core o suportar nativamente.<\/p>\n\n\n\n

Contexto r\u00e1pido: o que \u00e9 bcrypt e porque interessa no WordPress<\/h2>\n\n\n\n

bcrypt<\/code> \u00e9 um algoritmo de hashing pensado para passwords. Ao contr\u00e1rio de hashes r\u00e1pidos (que s\u00e3o \u00f3timos para integridade, mas p\u00e9ssimos para passwords), o bcrypt \u00e9 intencionalmente mais \u201ccaro\u201d<\/strong> computacionalmente, o que ajuda a reduzir a efic\u00e1cia de ataques de for\u00e7a bruta e cracking offline caso uma base de dados seja comprometida.<\/p>\n\n\n\n

No WordPress, o hashing de passwords acontece no fluxo de autentica\u00e7\u00e3o e no momento em que o utilizador define\/atualiza a password. Ter bcrypt no core significa um salto relevante de seguran\u00e7a sem depender de plugins ou mu-plugins externos.<\/p>\n\n\n\n

O que muda com o WordPress 6.8<\/h2>\n\n\n\n

Segundo o an\u00fancio do Core, o WordPress 6.8 vai usar bcrypt para hashing de passwords<\/strong>. Podes ver a comunica\u00e7\u00e3o oficial aqui: WordPress 6.8 will use bcrypt for password hashing<\/a>.<\/p>\n\n\n\n

Do ponto de vista de quem mant\u00e9m projetos, o efeito imediato \u00e9 simples: o core passa a resolver nativamente aquilo que muitos projetos resolviam via pacote<\/strong>.<\/p>\n\n\n\n

Ent\u00e3o e o wp-password-bcrypt? (Spoiler: vai ser descontinuado)<\/h2>\n\n\n\n

A Roots anunciou que, com o WordPress 6.8, o wp-password-bcrypt<\/code> deixa de ser necess\u00e1rio para sites que corram 6.8+ e vai entrar em modo de sunset. O racional \u00e9 direto: se o WordPress j\u00e1 faz isto no core, manter um pacote para \u201cfor\u00e7ar\u201d bcrypt passa a ser redundante e at\u00e9 pode complicar troubleshooting.<\/p>\n\n\n\n

O que significa \u201cn\u00e3o preciso mais\u201d em termos pr\u00e1ticos<\/h3>\n\n\n\n
    \n\n
  • Se o teu site est\u00e1 em WordPress 6.8 ou superior<\/strong>, podes remover o wp-password-bcrypt<\/code><\/strong>.<\/li>\n\n\n
  • As passwords existentes continuam a funcionar<\/strong> \u2014 n\u00e3o \u00e9 suposto precisares de um processo de migra\u00e7\u00e3o manual.<\/li>\n\n\n
  • O core do WordPress passa a tratar a autentica\u00e7\u00e3o com bcrypt \u201conde aplic\u00e1vel\u201d, de forma transparente.<\/li>\n\n<\/ul>\n\n\n\n
    \n\n

    Nota importante para equipas<\/h4>\n\n\n

    Isto \u00e9 especialmente relevante em projetos com depend\u00eancias geridas por Composer (ex.: Bedrock), onde \u00e9 comum ter o wp-password-bcrypt<\/code> expl\u00edcito no composer.json<\/code>.<\/p>\n\n<\/div>\n\n\n\n

    O plano da Roots para o pacote<\/h3>\n\n\n\n
      \n\n
    • Marcar o wp-password-bcrypt<\/code> como abandoned<\/strong> no Packagist.<\/li>\n\n\n
    • Remover refer\u00eancias ao pacote do Bedrock<\/strong> e da documenta\u00e7\u00e3o relacionada.<\/li>\n\n\n
    • Arquivar o reposit\u00f3rio no GitHub.<\/li>\n\n<\/ul>\n\n\n\n

      Como atualizar projetos Bedrock\/Composer com seguran\u00e7a<\/h2>\n\n\n\n

      Se mant\u00e9ns v\u00e1rios sites, a parte mais chata costuma ser garantir consist\u00eancia entre ambientes (local\/staging\/prod). O caminho mais seguro \u00e9 tratar isto como uma altera\u00e7\u00e3o normal de depend\u00eancia: primeiro garantir que o WordPress est\u00e1 (ou vai estar) em 6.8+, depois remover o pacote.<\/p>\n\n\n\n

      1) Confirma a vers\u00e3o alvo do WordPress<\/h3>\n\n\n\n

      Garante que o projeto vai correr WordPress 6.8 ou superior<\/strong>. Em stacks com Bedrock, isso normalmente passa por ajustar a depend\u00eancia do johnpbloch\/wordpress<\/code> (ou equivalente, dependendo do teu setup) e validar em staging.<\/p>\n\n\n\n

      2) Remove o pacote do Composer<\/h3>\n\n\n\n

      Se o wp-password-bcrypt<\/code> estiver listado nas depend\u00eancias, remove-o e atualiza o lockfile. O objetivo \u00e9 n\u00e3o carregar c\u00f3digo redundante e evitar estados amb\u00edguos no pipeline.<\/p>\n\n\n\n

      <\/circle><\/circle><\/circle><\/g><\/svg><\/span>