Preskočiť na obsah
Български Čeština Dansk Deutsch Eesti Ελληνικά English Español Français Hrvatski Italiano Latviešu Lietuvių Magyar Nederlands Polski Português Română Slovenčina Slovenščina Suomi Svenska
HelloBlog
WordPress 6.8 prechádza na bcrypt: čo to znamená pre wp-password-bcrypt a Bedrock projekty
Hannah Turing
Hannah Turing 2025. February 20. · 5 min read

WordPress 6.8 prechádza na bcrypt: čo to znamená pre wp-password-bcrypt a Bedrock projekty

bezpečnosť autentifikácia bcrypt bedrock bezpečnosť wordpress

WordPress dlhé roky dobiehal moderné štandardy pri ukladaní hesiel. Niežeby heslá ukladal v otvorenom texte, ale v praxi bolo bežné, že pokročilejšie projekty siahli po doplnkoch alebo balíčkoch, ktoré posilnili hashing (t. j. jednosmerné „prehashovanie“ hesla do podoby, ktorú si útočník nevie rozumne zvrátiť). Jedným z najpoužívanejších riešení vo svete Roots bol balíček wp-password-bcrypt.

Podľa oznámenia k WordPress 6.8 sa situácia mení: bcrypt sa stáva predvolenou metódou hashovania hesiel priamo v core. To je dôležitý krok pre bezpečnosť autentifikácie a zároveň to robí wp-password-bcrypt zbytočným pre weby, ktoré bežia na 6.8 a vyššie.

Rýchly kontext: čo je bcrypt a prečo ho vôbec riešime

bcrypt je algoritmus na hashovanie hesiel navrhnutý tak, aby bol zámerne pomalý a tým pádom drahý pre útoky hrubou silou (brute force) nad databázou ukradnutých hashov. V praxi to znamená, že aj keď sa niekto dostane k tabuľke s hashmi, ich hromadné lámanie je výrazne náročnejšie než pri rýchlych hashovacích funkciách.

Pre WordPress projekty je to citlivá téma najmä preto, že útoky často nejdú len cez login form, ale aj cez kompromitovanú databázu alebo zálohy. Silnejší password hashing je preto „tichý“ bezpečnostný upgrade, ktorý znižuje dopady incidentu.

Čo sa mení vo WordPress 6.8

WordPress 6.8 má podľa oficiálneho oznámenia používať bcrypt ako default pre hashovanie hesiel. Pre teba ako vývojára to znamená, že bezpečnejší hashing sa stáva štandardom bez potreby ďalších balíčkov alebo pluginov, ktoré prepisujú autentifikačné správanie.

Dôležité

Toto je zmena v core WordPressu. Ak si doteraz spoliehal na externý balíček len kvôli bcryptu, po upgrade na 6.8 už neriešiš „udržiavanie“ tohto bezpečnostného hacku.

Sunset balíčka wp-password-bcrypt: čo tým Roots myslí

Roots oznámil, že ich balíček wp-password-bcrypt ide do útlmu (sunsetting), pretože jeho hlavný dôvod existencie pre WordPress 6.8+ mizne. Z praktického pohľadu je to dobrá správa: menej závislostí, menej „magických“ zásahov do autentifikácie, jednoduchšia údržba.

Roots zároveň uvádza, že urobí tieto kroky:

  • na Packagiste označí wp-password-bcrypt ako abandoned
  • odstráni zmienky o balíčku z projektu Bedrock a súvisiacej dokumentácie
  • archivuje GitHub repozitár balíčka

Mám WordPress 6.8 alebo novší: môžem wp-password-bcrypt odstrániť?

Áno — podľa Roots, ak tvoj web beží na WordPress 6.8 alebo novšom, wp-password-bcrypt už nepotrebuješ.

Dôležitá časť je, že odstránenie by malo byť „bez migrácie“: existujúce heslá majú naďalej fungovať a WordPress core má autentifikáciu s bcryptom zvládnuť plynule tam, kde to dáva zmysel. Inými slovami, nemal by si riešiť rehashovanie alebo nútené resetovanie hesiel používateľov len kvôli tomu, že vyhodíš balíček.

Pozor pri plánovaní release

Pri zmene, ktorá sa týka prihlasovania, si nechaj priestor na rýchly rollback. Aj keď je deklarované, že migrácia netreba, autentifikácia je kritická cesta aplikácie a oplatí sa to otestovať na stagingu.

Typický postup v Bedrock/Composer projekte

Ak máš WordPress spravovaný cez Composer (napr. Bedrock), wp-password-bcrypt je typicky len jedna z požiadaviek v composer.json. Po upgrade WordPressu na 6.8+ dáva zmysel balíček odstrániť a následne nasadiť.

Keďže štruktúra projektov sa líši, univerzálny príkaz sem nedávam. Pointa je skôr proces:

  1. Upgradni WordPress na verziu 6.8+ v prostredí, kde vieš testovať (staging).
  2. Odstráň wp-password-bcrypt z Composer závislostí a aktualizuj lockfile.
  3. Nasimuluj reálny scenár: prihlásenie administrátora aj bežného používateľa, reset hesla, vytvorenie nového používateľa.
  4. Až potom nasadzuj do produkcie.

Čo ak ešte nie som na 6.8?

Ak z nejakého dôvodu zostávaš na staršej verzii WordPressu, tento článok neznamená, že wp-password-bcrypt musíš okamžite odstrániť. Oznámenie Roots je však jasný signál, že balíček už nebude do budúcna smerovať ako aktívne odporúčaný komponent ekosystému — keď prejdeš na 6.8+, jeho prínos sa stráca.

Prečo je to dobrá správa pre bezpečnosť (a aj pre údržbu)

Keď sa bezpečnostná prax stane súčasťou core, zlepšuje to situáciu pre celý ekosystém: nie len pre technicky zrelé tímy s Bedrockom, ale aj pre „klasické“ WordPress inštalácie, ktoré nikdy nepoužijú Composer. Zároveň ubúda fragmentácia — menej projektov, ktoré musia prepisovať autentifikáciu vlastnými hookmi, menej špeciálnych prípadov pri upgrade.

A pre nás vývojárov je to aj čisto praktické: ďalšia závislosť, ktorú netreba auditovať, aktualizovať a vysvetľovať.

Zhrnutie

  • WordPress 6.8 má používať bcrypt ako predvolený password hashing v core.
  • Balíček wp-password-bcrypt tým pádom v projektoch na 6.8+ stráca zmysel.
  • Roots ho označí ako abandoned, odstráni ho z Bedrock dokumentácie a repozitár archivuje.
  • Pri WordPress 6.8+ môžeš balíček odstrániť bez špeciálnej migrácie; existujúce heslá majú ďalej fungovať.

Referencie / Zdroje

Hannah Turing

Hannah Turing

WordPress vývojárka a technická redaktorka v HelloWP. Pomáham vývojárom vytvárať lepšie webové stránky s modernými nástrojmi ako Laravel, Tailwind CSS a ekosystém WordPress. Vášnivo sa venujem čistému kódu a vývojárskej skúsenosti.

Všetky príspevky

Viac od Hannah Turing

Kritická chyba v plugine Modular DS pre WordPress sa zneužíva: útok vedie až k admin prístupu Kritická chyba v plugine Modular DS pre WordPress sa zneužíva: útok vedie až k admin prístupu Automatizácia WordPress formulárov cez n8n a WPForms: webhooky, mapovanie polí a spoľahlivé workflow Automatizácia WordPress formulárov cez n8n a WPForms: webhooky, mapovanie polí a spoľahlivé workflow Astro pod Cloudflare: čo sa mení (a čo nie) pre vývojárov a obsahové weby Astro pod Cloudflare: čo sa mení (a čo nie) pre vývojárov a obsahové weby

Pridajte sa ku komunite HelloWP!

Chatujte s nami o WordPresse, webovom vývoji a zdieľajte skúsenosti s ostatnými vývojármi.

- členovia
- online
Pridať sa

We use cookies to improve your experience. By continuing, you agree to our Cookie Policy.