# JPKCom Enable Argon2 — Anleitung & Tipps > Wie du WordPress-Passwort-Hashes mit JPKCom Enable Argon2 auf Argon2id umstellst — Installation, Voraussetzungen und Praxis-Tipps zur Migration. Source: https://www.jpkc.com/db/guides/jpkcom-argon2/ JPKCom Enable Argon2 stellt die Passwort-Hashes deiner WordPress-Installation auf **Argon2id** um — den speicher- und rechenintensiven Gewinner der Password Hashing Competition. Sinnvoll, wenn du über die seit WordPress 6.8 standardmäßige bcrypt-Variante hinausgehen willst. ## Anleitung ### Voraussetzungen - WordPress **6.9** oder neuer - PHP **8.3** oder neuer mit Argon2id-Unterstützung (`PASSWORD_ARGON2ID`) - Multisite wird unterstützt (das Plugin ist netzwerkfähig) ### Installation 1. Gehe im Admin-Bereich zu **Plugins → Installieren** und klicke auf **Plugin hochladen**. 2. Wähle die ZIP-Datei des Plugins und klicke auf **Jetzt installieren**. 3. Klicke auf **Aktivieren**. Es gibt **keine Einstellungsseite** — sobald das Plugin aktiv ist, wirkt es automatisch. ### Wie es wirkt Seit WordPress 6.8 verwendet der Core standardmäßig bcrypt für Passwort-Hashes (zuvor phpass). Dieses Plugin schaltet stattdessen Argon2id ein. Argon2id ist speicherhart ausgelegt und erschwert dadurch GPU-gestützte Brute-Force-Angriffe deutlich. Hintergründe zur Core-Umstellung beschreibt der [WordPress-Core-Beitrag zum Passwort-Hashing](https://make.wordpress.org/core/2025/02/17/wordpress-6-8-will-use-bcrypt-for-password-hashing/). ## Tipps & Tricks - **Bestehende Hashes wandern schrittweise:** WordPress schreibt einen Passwort-Hash erst beim nächsten erfolgreichen Login des jeweiligen Nutzers neu. Die Umstellung auf Argon2id passiert also nach und nach — ein Massen-Reset ist nicht nötig. Für besonders sensible Konten kannst du gezielt einen Passwort-Reset erzwingen, damit der neue Algorithmus sofort greift. - **Argon2id-Support prüfen:** Stelle sicher, dass deine PHP-Umgebung Argon2id kennt (Konstante `PASSWORD_ARGON2ID` vorhanden). Andernfalls steht der Algorithmus nicht zur Verfügung. - **Nur ein Plugin sollte das Hashing bestimmen:** Falls ein weiteres Security-Plugin ebenfalls am Passwort-Hashing dreht, kläre Zuständigkeiten — sonst überschreiben sich die Verfahren gegenseitig. - **Reproduzierbare Updates:** Ab Version 2.0.2 nutzt das Plugin sichere, selbst gehostete Updates über GitHub mit SHA256-Prüfsummen und arbeitet mit `declare(strict_types=1)`. ## Weiterführende Informationen - Quellcode auf GitHub: - API-Dokumentation (PHPDoc): - Hintergrund: [WordPress 6.8 & Passwort-Hashing](https://make.wordpress.org/core/2025/02/17/wordpress-6-8-will-use-bcrypt-for-password-hashing/) - [Changelog dieses Projekts](https://www.jpkc.com/db/changelog/jpkcom-argon2/)