適用版本與範例
這個工具適用於 WordPress 6.8 及之後的使用者密碼欄位 `wp_users.user_pass`。舊版預設 phpass 雜湊通常以 `$P$` 開頭;新版預設使用者密碼雜湊通常以 `$wp$2y$` 開頭。下面是兩種格式的範例。
- 舊版範例(6.8 前常見 phpass)
- $P$Bxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
- 新版範例(6.8 起預設使用者密碼)
- $wp$2y$12$example-hash-body
WordPress 6.8+ · $wp$2y$ · SHA-384 + bcrypt
WordPress 密碼雜湊生成器
用於手動重設或遷移 WordPress 6.8+ 使用者密碼:在瀏覽器本地依照 Core 新流程生成 $wp$2y$ 雜湊,並對照說明新版 bcrypt 與舊版 $P$ phpass 的差異。
生成結果
輸入密碼後生成的 $wp$2y$ 雜湊會顯示在這裡。
WordPress 6.8 改了什麼
WordPress 6.8 起,`wp_hash_password()` 預設不再生成 phpass portable hash,而是先用 `wp-sha384` 作為 key 對密碼做 HMAC-SHA-384 預雜湊並 base64 編碼,再交給 bcrypt。`wp_check_password()` 仍相容舊的 `$P$` 與部分舊 MD5 雜湊;使用者登入或改密碼後,舊雜湊會被機會性升級為新版雜湊。
依據與不適用場景
依據來自 WordPress Core 6.8 dev note 和目前 `wp_hash_password()` 原始碼。它不適用於文章保護密碼、只支援 6.7 及更早版本的站點,或透過 `wp_hash_password_algorithm` filter 改成 Argon2/其他演算法的站點。bcrypt cost 會寫入 hash 本身,WordPress 可以校驗;若你的站點預設 cost 不同,登入後可能被標記為需要重雜湊。
WordPress Core 6.8 dev noteopen_in_new常見問題
從哪個 WordPress 版本開始適用?
從 WordPress 6.8 開始,使用者密碼預設改為 SHA-384 預雜湊後的 bcrypt,並以 `$wp$2y$` 形式儲存。
`$P$` 開頭的雜湊還能用嗎?
能。WordPress 6.8+ 仍會校驗舊的 phpass `$P$` 雜湊,使用者下次登入或修改密碼時會自動升級為新版雜湊。
這個工具會上傳我的密碼嗎?
不會。HMAC-SHA-384 和 bcrypt 都在目前瀏覽器裡完成,不呼叫本站服務端接口。