John Blackbourn explica que WordPress 6.8 cambiará el algoritmo para encriptar las contraseñas. El algoritmo utilizado para almacenar las contraseñas de los usuarios pasara de “phpass” a “bcrypt”. Este cambio aumenta la seguridad de las contraseñas al hacer más difícil que sean descifradas. Además, otros elementos de seguridad, como las contraseñas de aplicaciones y las claves de recuperación, utilizarán el algoritmo BLAKE2b a través de la biblioteca Sodium, lo que ofrece una seguridad rápida y confiable.

No es necesario que los propietarios de sitios o usuarios hagan nada, ya que las contraseñas y claves existentes seguirán funcionando tras actualizar a la versión 6.8. Las contraseñas se reharán automáticamente con bcrypt cuando el usuario vuelva a iniciar sesión o cambie su contraseña. Sin embargo, las contraseñas de aplicaciones y las claves de seguridad no se actualizarán automáticamente, aunque seguirán siendo válidas si se generaron antes de la actualización.

Algunos detalles adicionales incluyen:

  • Las contraseñas de publicaciones seguirán utilizando el método antiguo por ahora.
  • Los hashes seguirán siendo portátiles, lo que permite mover bases de datos entre servidores sin problemas.
  • Se han actualizado las funciones internas para manejar este cambio, incluyendo soporte para las contraseñas antiguas y compatibilidad con plugins personalizados.
  • Se ha añadido una función para verificar si una contraseña necesita ser rehashada.
  • Se ha implementado pre-hashing con SHA-384 para evitar una limitación de bcrypt sobre la longitud de las contraseñas.

Para desarrolladores:

  • El código que usa las funciones nativas para contraseñas seguirá funcionando sin cambios.
  • Si se manipulan directamente los hashes antiguos, puede ser necesario actualizar el código para manejar los nuevos prefijos y algoritmos.
  • Se han introducido nuevas funciones para gestionar los hashes rápidos con BLAKE2b.
  • La compatibilidad con Argon2 también es posible si el servidor lo soporta.

Este cambio es un paso hacia una mayor seguridad en WordPress, permitiendo mejoras futuras en el manejo de contraseñas.

El equipo de WordPress mejora la seguridad del programa. Los usuarios también deben aportar de su parte para mantener con un correcto mantenimiento de sus sitio