Sari la conținut
Български Čeština Dansk Deutsch Eesti Ελληνικά English Español Français Hrvatski Italiano Latviešu Lietuvių Magyar Nederlands Polski Português Română Slovenčina Slovenščina Suomi Svenska
HelloBlog
WordPress 6.8 trece pe bcrypt: de ce poți renunța la wp-password-bcrypt (și ce se întâmplă cu parolele existente)
Hannah Turing
Hannah Turing 2025. February 20. · 5 min read

WordPress 6.8 trece pe bcrypt: de ce poți renunța la wp-password-bcrypt (și ce se întâmplă cu parolele existente)

ecosistem wordpress autentificare bcrypt bedrock securitate wordpress

WordPress a fost criticat ani la rând pentru modul în care gestionează anumite aspecte de securitate „din moștenire”. Unul dintre cele mai sensibile e hashing-ul parolelor (adică modul în care WordPress transformă parola într-o valoare care se stochează în baza de date, fără să păstreze parola în clar). Odată cu WordPress 6.8, nucleul (core) face un pas mare înainte: bcrypt devine metoda implicită pentru hashing-ul parolelor.

Consecința directă pentru multe proiecte moderne: pachetul wp-password-bcrypt (popular în ecosistemul Roots/Bedrock) nu mai e necesar după upgrade la WordPress 6.8. Mai mult, Roots a anunțat oficial că îl „sunset-uiește” (îl retrage treptat din uz), fiindcă WordPress core acoperă acum aceeași nevoie.

Ce se schimbă în WordPress 6.8: bcrypt devine default în core

Conform anunțului din Make WordPress Core, WordPress 6.8 va folosi bcrypt pentru password hashing. bcrypt este un algoritm consacrat pentru stocarea sigură a parolelor, proiectat special ca să fie lent și „costly” (în sensul bun) pentru atacatori, inclusiv în scenarii de brute force pe hash-uri furate.

Important: vorbim de hashing, nu de criptare. Hashing-ul e un proces unidirecțional: WordPress nu „decriptează” parola; doar compară hash-ul generat la login cu cel stocat.

De ce wp-password-bcrypt devine inutil după upgrade

wp-password-bcrypt a apărut ca soluție pragmatică înainte ca WordPress core să ofere o opțiune modernă, robustă, pentru hashing-ul parolelor. În multe setup-uri (în special proiecte construite pe Bedrock), pachetul era o îmbunătățire ușor de adoptat pentru un risc real: parole hash-uite cu algoritmi mai vechi sunt mai vulnerabile în timp, mai ales când atacatorii au hardware dedicat.

Odată ce WordPress 6.8 include bcrypt direct în core, acea îmbunătățire nu mai are de ce să fie „lipită” din exterior. Practic, WordPress face nativ ceea ce făcea pachetul.

Ce înseamnă concret pentru site-uri și aplicații

Dacă rulezi WordPress 6.8 sau mai nou, poți scoate wp-password-bcrypt din proiect fără să faci pași speciali de migrare. Parolele existente continuă să funcționeze, iar WordPress se ocupă „din mers” de autentificare folosind bcrypt acolo unde e cazul.

Pe scurt

Pe WordPress 6.8+ poți elimina wp-password-bcrypt și utilizatorii se vor putea autentifica în continuare. Nu e necesară o migrare manuală a parolelor.

Ce anunță Roots despre wp-password-bcrypt

Roots a comunicat că va opri practic întreținerea și distribuția activă a pachetului, pentru a reflecta faptul că nu mai e necesar într-un WordPress modern. Concret, planul include:

  • Marcarea pachetului wp-password-bcrypt ca abandoned pe Packagist
  • Eliminarea referințelor la el din Bedrock și din documentația asociată
  • Arhivarea repository-ului GitHub

Cum îl elimini (în proiecte cu Composer/Bedrock)

În proiectele bazate pe Bedrock, wp-password-bcrypt e de regulă instalat prin Composer. Eliminarea lui e, în esență, o operațiune de dependency management, dar condiția e să fii deja pe WordPress 6.8+ (sau să planifici upgrade-ul imediat).

Pașii tipici într-un proiect Composer arată cam așa:

# 1) Confirmă versiunea de WordPress (ideal 6.8+)
# (comanda exactă depinde de setup; în Bedrock e de obicei un pachet wpackagist)

# 2) Elimină pachetul
composer remove roots/wp-password-bcrypt

# 3) Deploy ca de obicei și verifică autentificarea (admin + user obișnuit)

Atenție la momentul eliminării

Nu scoate pachetul înainte să fii pe WordPress 6.8+ în producție. În caz contrar, te poți întoarce la comportamentul vechi de hashing, ceea ce nu e ce vrei din perspectiva securității.

Ce se întâmplă cu parolele deja existente?

Un detaliu care contează pentru echipele care administrează site-uri mari: nu e nevoie de resetări în masă sau de scripturi care „rehash-uiesc” parolele. Anunțul Roots subliniază că WordPress core va gestiona autentificarea fără pași de migrare — utilizatorii existenți pot continua să se logheze normal.

În practică, asta îți permite să tratezi schimbarea ca pe un upgrade de platformă, nu ca pe un proiect de migrare de date cu risc ridicat.

De ce schimbarea asta contează pentru securitatea WordPress

Securitatea autentificării nu e doar despre formulare de login și rate limiting. Fundamentul e modul în care sunt stocate parolele. Faptul că WordPress 6.8 adoptă bcrypt implicit înseamnă o bază mai solidă pentru întreg ecosistemul: site-uri clasice, magazine WooCommerce, rețele multisite și aplicații headless care folosesc WordPress ca backend.

Pentru dezvoltatori, beneficiul major e reducerea dependențelor „obligatorii” pentru hardening de bază. Dacă înainte trebuia să adaugi pachete sau pluginuri ca să ajungi la un standard modern, acum WordPress vine cu asta la pachet.

Rezumat

  1. WordPress 6.8 introduce bcrypt ca metodă implicită pentru password hashing în core.
  2. Dacă rulezi WordPress 6.8+, wp-password-bcrypt nu mai e necesar și poate fi eliminat.
  3. Eliminarea pachetului nu cere migrare manuală; parolele existente continuă să funcționeze.
  4. Roots marchează pachetul ca abandoned, scoate referințele din Bedrock și arhivează repository-ul.

Referințe / Surse

Hannah Turing

Hannah Turing

Dezvoltatoare WordPress și redactor tehnic la HelloWP. Ajut dezvoltatorii să creeze site-uri mai bune cu instrumente moderne precum Laravel, Tailwind CSS și ecosistemul WordPress. Pasionată de cod curat și experiența dezvoltatorului.

Toate articolele

Mai multe de la Hannah Turing

CVE-2026-23550: vulnerabilitate critică în Modular DS pentru WordPress, exploatată activ pentru acces de admin CVE-2026-23550: vulnerabilitate critică în Modular DS pentru WordPress, exploatată activ pentru acces de admin Automatizează formularele din WordPress cu n8n + WPForms: webhook-uri, mapare de câmpuri și workflow-uri reale Automatizează formularele din WordPress cu n8n + WPForms: webhook-uri, mapare de câmpuri și workflow-uri reale Astro intră în Cloudflare: ce se schimbă pentru framework și ce aduce Astro 6 Astro intră în Cloudflare: ce se schimbă pentru framework și ce aduce Astro 6

Alătură-te comunității HelloWP!

Discută cu noi despre WordPress, dezvoltare web și împărtășește experiențe cu alți dezvoltatori.

- membri
- online
Alătură-te

We use cookies to improve your experience. By continuing, you agree to our Cookie Policy.