{"id":131,"date":"2025-02-20T00:00:00","date_gmt":"2025-02-19T23:00:00","guid":{"rendered":"https:\/\/helloblog.io\/sl\/wordpress-6-8-bcrypt-wp-password-bcrypt-upokojitev\/"},"modified":"2026-01-20T06:33:06","modified_gmt":"2026-01-20T05:33:06","slug":"wordpress-6-8-bcrypt-wp-password-bcrypt-upokojitev","status":"publish","type":"post","link":"https:\/\/helloblog.io\/sl\/wordpress-6-8-bcrypt-wp-password-bcrypt-upokojitev\/","title":{"rendered":"WordPress 6.8 prina\u0161a bcrypt v jedro: \u010das je, da upokoji\u0161 wp-password-bcrypt"},"content":{"rendered":"\n

V WordPress projektih, kjer se resno jemlje varnost, je bila ena od pogostih dopolnitev zadnja leta uporaba paketa wp-password-bcrypt<\/code>. Ideja je bila preprosta: WordPressu dodati sodobnej\u0161e hashiranje gesel (bcrypt), \u0161e preden bi to znal core. Z WordPress 6.8 se ta zgodba obrne \u2013 bcrypt postane privzeta metoda hashiranja gesel v jedru, zato dodatni paket nima ve\u010d prave vloge.<\/p>\n\n\n\n

Kaj se dejansko spreminja v WordPress 6.8<\/h2>\n\n\n\n

Po napovedi iz core ekipe bo WordPress 6.8 za hashiranje gesel uporabljal bcrypt. Bcrypt je dobro uveljavljen algoritem za shranjevanje gesel, zasnovan tako, da je namerno po\u010dasnej\u0161i (t. i. work factor<\/em>), kar ote\u017ei brute-force in podobne napade, \u010de napadalec pride do baze hashov.<\/p>\n\n\n\n

Prakti\u010dna posledica: varnej\u0161a privzeta avtentikacija v WordPressu brez dodatnih pluginov ali Composer paketov.<\/p>\n\n\n\n

Zakaj to pomeni konec za wp-password-bcrypt<\/h2>\n\n\n\n

Roots ekipa je paket wp-password-bcrypt<\/code> prvotno naredila zato, ker WordPress jedro ni ponujalo \u201cmo\u010dnega\u201d hashiranja gesel v skladu z modernimi pri\u010dakovanji. Ko pa core prevzame isto vlogo, postane paket redundanten \u2013 v najbolj\u0161em primeru nepotreben, v najslab\u0161em pa \u0161e en kos kode, ki ga mora\u0161 vzdr\u017eevati in preverjati v deployment pipeline-u.<\/p>\n\n\n\n

\u010ce ima\u0161 WordPress 6.8+: lahko ga odstrani\u0161 brez migracij<\/h2>\n\n\n\n

Klju\u010dna informacija za vzdr\u017eevalce produkcijskih strani: \u010de tvoja stran te\u010de na WordPress 6.8 ali novej\u0161em, wp-password-bcrypt<\/code> ne potrebuje\u0161 ve\u010d in ga lahko varno odstrani\u0161. Obstoje\u010da gesla bodo \u0161e naprej delovala brez posebnih migracijskih korakov \u2013 WordPress jedro naj bi avtentikacijo in prehod obravnavalo \u201cseamless\u201d, kjer je to smiselno.<\/p>\n\n\n\n

\n\n

Zakaj \u201cbrez migracije\u201d ni trivialna obljuba<\/h4>\n\n\n

Pri spremembah hashiranja gesel je kriti\u010dno, da uporabnikom ne \u201czlomi\u0161\u201d prijave. Napoved za WordPress 6.8 implicira, da bo core poskrbel za kompatibilnost in postopno uporabo bcrypta, ne da bi moral ro\u010dno prepisovati hashe v bazi.<\/p>\n\n<\/div>\n\n\n\n

Kaj bo Roots naredil s projektom<\/h2>\n\n\n\n

Roots je jasno napovedal, da bo wp-password-bcrypt<\/code> uradno upokojen v skladu s spremembo v WordPress 6.8. To se odrazi v treh konkretnih korakih:<\/p>\n\n\n\n