Piehnat

digitale freiheit

Das Bild zeigt zwei Symbole nebeneinander auf weißem Hintergrund. Links befindet sich ein dunkelblauer Kreis mit einem orangefarbenen Schlüssel in der Mitte — das Symbol steht typischerweise für „Zugriff“ oder „Schlüssel“. Rechts daneben ist ein graues Schild-Symbol mit der Aufschrift „BCrypt HASH“ in schwarzer Schrift — es symbolisiert Sicherheit durch Hashing, konkret mit dem BCrypt-Algorithmus.

bcrypt in WordPress 6.8 – Die Evolution der Passwortsicherheit

In Bits & Freiheit

Die Einführung von bcrypt als Standard-Passwort-Hashing-Algorithmus in WordPress 6.8 markiert einen Meilenstein in der Sicherheitsentwicklung des CMS. Grund genug, mal einen kleinen Blick auf die technischen Hintergründe, Implementierungsdetails und praktischen Auswirkungen zu wagen.

Warum bcrypt? Und warum jetzt?

Bislang war WordPress ein wenig oldschool unterwegs. Für die Passwortsicherung kamen Algorithmen wie MD5 oder die PHPass-Bibliothek zum Einsatz. Letztere hat schon in den frühen 2000er Jahren das Hashing aufgemöbelt, indem sie MD5 einfach mehrfach durchgenudelt hat.

Das war damals ganz okay, aber in heutigen Zeiten, wo Hacker GPU-Farmen am Start haben, die MD5-basierte Hashes in Minuten pulverisieren, eher nicht mehr.

Deshalb der Schritt zu bcrypt: Dieser Algorithmus ist von Haus aus bewusst langsam und rechenintensiv — genau das, was Angreifer hassen.

bcrypt ist quasi das Fitnessstudio für deine Passwörter: Je höher der sogenannte Cost-Faktor, desto anstrengender wird’s für den Angreifer, aber auch für deinen Server. In WordPress 6.8 liegt der Standard-Cost bei 12, was einen guten Mix aus Sicherheit und Performance liefert.

Kurzer Nerd-Exkurs: Was ist bcrypt überhaupt?

bcrypt wurde 1999 von den beiden klugen Köpfen Niels Provos und David Mazières erfunden. Basis dafür war der Blowfish-Blockchiffre, ein bewährter Verschlüsselungsalgorithmus.

Zwei Hauptzutaten sorgen bei bcrypt für Extra-Sicherheit:

  • Salt: Ein 128-Bit-Zufallswert, der jedem Passwort-Hash individuell beigemischt wird. Dadurch ergibt selbst das gleiche Passwort niemals den gleichen Hash.

  • Cost-Faktor: Bestimmt, wie oft der Algorithmus durchlaufen wird (genauer: 2^Cost Iterationen). Mehr Cost heißt mehr Aufwand – sowohl für dich als auch für Angreifer.

Der Ablauf ist so: Salt wird erzeugt → Passwort und Salt bauen die Blowfish-Strukturen um → das Ganze wird zigtausendmal wiederholt → am Ende kommt ein Base64-codierter Hash heraus. Fertig ist der Sicherheitskeks.

Der Hash sieht dann ungefähr so aus:
$2a$12$[22 Zeichen Salt][31 Zeichen Hash]
Wobei 2a die bcrypt-Version und 12 der Cost-Faktor ist.

Was heißt das konkret für dich als WordPress-Admin?

Sobald du WordPress 6.8 nutzt, passiert Folgendes automatisch:

  • Alle neuen Passwörter oder geänderten Passwörter werden direkt mit bcrypt gehasht.

  • Bestehende Nutzerkonten? Keine Sorge, die werden beim nächsten Login oder Passwort-Reset still und leise migriert. Niemand muss genervt eine „Bitte Passwort ändern“-Mail verschicken.

WordPress nutzt dafür übrigens direkt die nativen PHP-Funktionen password_hash() und password_verify(), die bcrypt von Haus aus unterstützen — keine exotischen Extensions nötig.

Sollte dir der Cost-Faktor von 12 zu hoch sein, kannst du ihn ganz easy in der wp-config.php anpassen:

define('PASSWORD_BCRYPT_COST', 10);

Ein Cost unter 10 wird allerdings nicht empfohlen — selbst 10 reicht für viele Szenarien locker aus und entlastet deine CPU etwas.

Und wie viel sicherer ist bcrypt wirklich?

Die Zeit, die benötigt wird, um einen bcrypt-Hash zu knacken, hängt stark von der Länge und Komplexität des Passworts ab. Während einfache und kurze Passwörter innerhalb von Stunden oder Tagen geknackt werden können, verlängert sich die benötigte Zeit bei komplexen Passwörtern mit mindestens 8 Zeichen auf Jahre oder sogar Jahrzehnte. Dadurch bietet bcrypt einen effektiven Schutz gegen Brute-Force-Angriffe.

Was solltest du als Admin noch beachten?

  • Server-Performance: bcrypt kostet Rechenzeit. Auf einer typischen Xeon E5 CPU dauert ein Hash bei Cost=12 etwa 340 ms, bei Cost=10 nur 85 ms. Prüfe dein Login-Verhalten – wenn es ruckelt, dreh die Cost leicht runter.

  • PHP-Version: Nutze mindestens PHP 8.0, damit bcrypt flott läuft. OPcache aktivieren hilft zusätzlich.

  • Passwortrichtlinien: Passwörter mit mindestens 12 Zeichen – Groß-/Kleinschreibung und Zahlen. So geht das per Filter:

add_filter('password_hint', function($hint) {
return 'Mindestens 12 Zeichen mit Groß-/Kleinschreibung und Zahlen';
});

Zwei-Faktor-Authentifizierung: Kombiniere bcrypt mit Plugins wie Wordfence oder Google Authenticator. Doppelt hält besser.

Und was kommt danach? Gibt’s noch bessere Algorithmen?

Ja, da wartet noch was in der Zukunft:

Argon2 (Sieger des Password Hashing Competition 2015): Noch resistenter gegen GPUs, braucht aber spezielle PHP-Extensions (libsodium).

scrypt: Nutzt nicht nur CPU, sondern auch viel Speicher – noch unangenehmer für Angreifer.

Post-Quantum-Hashing: Falls jemals Quantencomputer Realität werden, müssen wir eh nochmal neu mischen. Aber keine Panik – bis dahin sind wir vermutlich eh schon auf WordPress 24.5 oder bloggen telepathisch.

Was sagt uns das alles?

Mit bcrypt bekommst du ab WordPress 6.8 endlich einen Passwortschutz, der wirklich 2025-tauglich ist: robust, durchdacht und ohne dass du selbst viel tun musst. Praktische, erprobte und zukunftsfähige Sicherheit.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert