WordPress 6.8 gör bcrypt till standard – dags att plocka bort wp-password-bcrypt

Under flera år har ett av de mest återkommande förbättringsspåren i WordPress-världen varit lösenordshanteringen. Roots-paketet wp-password-bcrypt har fyllt en tydlig lucka: att ge WordPress starkare lösenordshashning med bcrypt (en etablerad algoritm för att lagra lösenord säkrare genom att vara avsiktligt “dyr” att beräkna).

I och med WordPress 6.8 ändras spelplanen. Enligt WordPress core-teamets besked blir bcrypt standardmetod för lösenordshashning i core. Det innebär att wp-password-bcrypt inte längre behövs när sajten kör WordPress 6.8 eller senare.

Vad innebär förändringen i praktiken?

Det viktiga för dig som förvaltar WordPress-sajter (särskilt Bedrock-installationer där wp-password-bcrypt ofta legat som ett Composer-beroende) är: uppgraderar du till WordPress 6.8+ kan du ta bort paketet utan att behöva göra någon lösenordsmigrering.

Befintliga användare påverkas inte negativt. Lösenord fortsätter fungera, och WordPress core ska hantera autentiseringen smidigt med bcrypt där det är tillämpligt. Med andra ord: du slipper både extra kod och extra underhåll, men behåller säkerhetsvinsten.

Om du använder wp-password-bcrypt: vad bör du göra nu?

Roots kommunicerar att paketet fasas ut i takt med att WordPress 6.8 tar över ansvaret. För dig innebär det i praktiken en ganska enkel städinsats när din miljö är på 6.8 eller senare:

1. Verifiera att sajten faktiskt kör WordPress 6.8 eller senare innan du tar bort något (gäller särskilt om du hanterar flera miljöer som dev/stage/prod).
2. Ta bort wp-password-bcrypt ur din Composer-konfiguration när du har uppgraderat WordPress.
3. Rensa eventuella interna riktlinjer/dokumentation där paketet nämns, så att det inte åker tillbaka in av gammal vana.

Vad händer med paketet hos Roots?

Roots gör en tydlig avveckling för att spegla att paketet inte längre fyller en funktion på moderna WordPress-versioner. Det de beskriver är bland annat:

• wp-password-bcrypt markeras som abandoned på Packagist.
• Referenser tas bort från Bedrock och relaterad dokumentation.
• GitHub-repot arkiveras.

Lite kontext: varför fanns wp-password-bcrypt från början?

wp-password-bcrypt skapades för att ge WordPress-projekt bättre lösenordssäkerhet innan core hade stark hashning som standard. Den typen av “bro-paket” har varit vanliga i ekosystemet: communityn löser ett problem tidigt, och när WordPress väl tar in förbättringen i core kan vi förenkla våra stackar igen.

Sammanfattning

När WordPress 6.8 gör bcrypt till standard för lösenordshashning blir Roots wp-password-bcrypt onödigt på sajter som kör 6.8+. Du kan ta bort paketet utan migrering, och WordPress tar över hanteringen. Samtidigt fasar Roots ut paketet formellt genom att markera det som övergivet, rensa referenser i Bedrock och arkivera repot.