WordPress 果酱
·
WordPress 密码哈希算法已经从 phpass 改成了 bcrypt
内容提要
WordPress 6.8 版本将用户密码哈希算法从 phpass 更改为 bcrypt,提升了密码安全性。同时,应用密码和密钥采用 BLAKE2b 算法,自动调整,无需用户干预。新函数 wp_hash_password() 和 wp_check_password() 支持 bcrypt,确保现有密码有效。开发者需更新相关代码以适应新算法。
关键要点
-
WordPress 6.8 版本将用户密码哈希算法从 phpass 更改为 bcrypt,提升了密码安全性。
-
应用密码、用户密码重置密钥、个人数据请求密钥和恢复模式密钥也改为 BLAKE2b 算法。
-
文章密码仍在使用 phpass,未来可能会进行优化。
-
升级到 6.8 后,用户无需更改或重置密码,现有密码和密钥继续有效。
-
wp_hash_password() 和 wp_check_password() 函数已更新为使用 PHP 原生的 password_hash() 和 password_verify() 函数。
-
新增 wp_password_needs_rehash() 函数,支持自定义覆盖逻辑。
-
新增两个快速哈希函数 wp_fast_hash() 和 wp_verify_fast_hash(),使用 BLAKE2b 算法。
-
开发者需更新使用 phpass 哈希的代码,改用 wp_check_password() 和 wp_verify_fast_hash()。
-
其他认证机制通常不受影响,但建议检查密码哈希或密钥处理。
延伸解读
密码安全性提升
WordPress 6.8 版本将密码哈希算法从 phpass 更改为 bcrypt,显著提高了密码破解的难度。这意味着用户的密码在数据库中的安全性得到了增强,尤其是在面对潜在的网络攻击时,用户数据的保护更加可靠。
开发者需注意的更新
开发者在升级到 WordPress 6.8 后,需要检查并更新使用 phpass 哈希的代码,改用新的 wp_check_password() 和 wp_verify_fast_hash() 函数。这一变化确保了密码验证的安全性,但也要求开发者及时适应新函数,以避免潜在的安全风险。
自动调整机制
WordPress 6.8 的升级过程是自动且无缝的,用户无需手动更改密码或密钥。现有的密码和密钥在升级后依然有效,这降低了用户的操作负担,同时确保了系统的连续性和稳定性。
延伸问答
WordPress 6.8 版本的密码哈希算法有什么变化?
WordPress 6.8 版本将用户密码哈希算法从 phpass 更改为 bcrypt,提升了密码安全性。
用户在升级到 WordPress 6.8 后需要做什么?
用户无需更改或重置密码,现有密码和密钥继续有效,系统会自动调整。
WordPress 6.8 中新增了哪些密码处理函数?
新增了 wp_hash_password()、wp_check_password()、wp_password_needs_rehash()、wp_fast_hash() 和 wp_verify_fast_hash() 函数。
BLAKE2b 算法在 WordPress 6.8 中的应用是什么?
BLAKE2b 算法用于应用密码、用户密码重置密钥和其他密钥的哈希处理,速度较快且安全。
开发者在更新到 WordPress 6.8 时需要注意什么?
开发者需更新使用 phpass 哈希的代码,改用 wp_check_password() 和 wp_verify_fast_hash() 函数。
WordPress 6.8 版本对现有密码的兼容性如何?
现有密码和密钥在升级后仍然有效,用户的会话保持不变。
