Avec WordPress 6.8…
Avec WordPress 6.8, la sécurité des comptes utilisateurs fait un grand bond en avant grâce à l’adoption de Bcrypt pour le hashage des mots de passe. Il s’agit d’une des principales améliorations de sécurité de WordPress 6.8. Mais pourquoi ce changement est-il si important ? Et surtout, qu’est-ce que cela change concrètement pour vous, utilisateur, administrateur ou développeur ? On vous explique tout simplement.
Qu’est-ce que le hashage d’un mot de passe ?
Lorsque vous entrez un mot de passe sur un site web, celui-ci ne doit jamais être stocké tel quel dans la base de données. Sinon, en cas de piratage, tous les mots de passe seraient lisibles. Pour éviter cela, les mots de passe sont « hachés » : ils sont passés dans un algorithme qui les transforme en une série de caractères illisible.
Exemple :
– Mot de passe : Bonjour123
– Hash (Bcrypt) : $2y$12$J9syZ5q2ds1KLMNv4HdVeu…
Au lieu de comparer le mot de passe en clair, le site compare la version hachée avec celle stockée. Cela rend le vol de mots de passe beaucoup plus difficile.
Pourquoi MD5 était un problème ?
Jusqu’à présent, WordPress utilisait un système de hashage dérivé de MD5, une méthode ancienne et très rapide. Trop rapide. Cela permettait à un pirate d’essayer des milliers (voire millions) de combinaisons de mots de passe en un rien de temps, en utilisant des outils automatisés.
En 2024, les bases de données de mots de passe pré-hachés (« rainbow tables ») ont rendu MD5 quasi obsolète en matière de sécurité.
Bcrypt : la nouvelle norme de sécurité dans WordPress 6.8
Bcrypt est un algorithme de hashage moderne, conçu pour être lent volontairement. Cela signifie que même si un pirate tente une attaque par force brute, chaque essai lui coûtera du temps. En plus, Bcrypt gère automatiquement un « sel » (salt), c’est-à-dire une valeur unique ajoutée au mot de passe avant de le hacher, ce qui empêche la prévisibilité.
Ce que WordPress change dans la version 6.8
Désormais, lors de chaque nouvelle inscription ou modification de mot de passe, WordPress stocke celui-ci avec Bcrypt. Mieux encore : les anciens mots de passe seront re-hachés automatiquement avec Bcrypt lors de la prochaine connexion de l’utilisateur.
Pas besoin de forcer les utilisateurs à changer leur mot de passe. La transition se fait en douceur.
Est-ce que cela va ralentir mon site ?
Non. Le hashage se fait uniquement lors de la connexion ou du changement de mot de passe. Cela représente une charge négligeable pour un serveur.
Mais en cas de piratage de la base de données, les mots de passe hachés en Bcrypt sont beaucoup plus difficiles à exploiter.
Pour les développeurs : que faut-il savoir ?
Les fonctions wp_hash_password() et wp_check_password() gèrent désormais automatiquement Bcrypt. Si vous utilisez des plugins ou créez vos propres formulaires de connexion, vous n’avez pas à modifier votre code — sauf si vous utilisez des méthodes personnalisées de validation.
Les plugins doivent-ils être mis à jour ?
Oui, les développeurs de plugins de sécurité, d’espace membre ou de login personnalisé doivent vérifier leur compatibilité avec Bcrypt. S’ils gèrent manuellement les mots de passe, ils devront adapter leur code aux nouvelles fonctions.
Pourquoi ce changement est essentiel en 2025
Les cyberattaques ne cessent d’augmenter. Les failles de sécurité exploitent souvent des mots de passe faibles ou mal protégés. Avec cette mise à jour, WordPress rattrape les bonnes pratiques d’autres systèmes modernes comme Laravel, Django ou Node.js.
C’est une évolution technique, certes, mais aussi un signal fort en faveur de la responsabilité des développeurs et des administrateurs.
En résumé
– Bcrypt rend les mots de passe beaucoup plus difficiles à casser
– La mise à jour se fait sans action de l’utilisateur
– Les développeurs peuvent continuer à utiliser les fonctions WordPress habituelles
– C’est un pas nécessaire pour un WordPress plus sûr et prêt pour l’avenir
Liens utiles
– Documentation : https://make.wordpress.org/core/2024/11/15/improved-password-hashing-in-wordpress-6-8/
– Article principal : https://digisense.fr/wordpress-6-8-une-revolution-en-7-actes/
– Article suivant : https://digisense.fr/article-3-le-full-site-editing-devient-adulte-avec-wordpress-6-8/