JPKCom Enable Argon2 — Anleitung & Tipps
Wie du WordPress-Passwort-Hashes mit JPKCom Enable Argon2 auf Argon2id umstellst — Installation, Voraussetzungen und Praxis-Tipps zur Migration.
JPKCom Enable Argon2 stellt die Passwort-Hashes deiner WordPress-Installation auf Argon2id um — den speicher- und rechenintensiven Gewinner der Password Hashing Competition. Sinnvoll, wenn du über die seit WordPress 6.8 standardmäßige bcrypt-Variante hinausgehen willst.
Anleitung
Voraussetzungen
- WordPress 6.9 oder neuer
- PHP 8.3 oder neuer mit Argon2id-Unterstützung (
PASSWORD_ARGON2ID) - Multisite wird unterstützt (das Plugin ist netzwerkfähig)
Installation
- Gehe im Admin-Bereich zu Plugins → Installieren und klicke auf Plugin hochladen.
- Wähle die ZIP-Datei des Plugins und klicke auf Jetzt installieren.
- Klicke auf Aktivieren.
Es gibt keine Einstellungsseite — sobald das Plugin aktiv ist, wirkt es automatisch.
Wie es wirkt
Seit WordPress 6.8 verwendet der Core standardmäßig bcrypt für Passwort-Hashes (zuvor phpass). Dieses Plugin schaltet stattdessen Argon2id ein. Argon2id ist speicherhart ausgelegt und erschwert dadurch GPU-gestützte Brute-Force-Angriffe deutlich. Hintergründe zur Core-Umstellung beschreibt der WordPress-Core-Beitrag zum Passwort-Hashing.
Tipps & Tricks
- Bestehende Hashes wandern schrittweise: WordPress schreibt einen Passwort-Hash erst beim nächsten erfolgreichen Login des jeweiligen Nutzers neu. Die Umstellung auf Argon2id passiert also nach und nach — ein Massen-Reset ist nicht nötig. Für besonders sensible Konten kannst du gezielt einen Passwort-Reset erzwingen, damit der neue Algorithmus sofort greift.
- Argon2id-Support prüfen: Stelle sicher, dass deine PHP-Umgebung Argon2id kennt (Konstante
PASSWORD_ARGON2IDvorhanden). Andernfalls steht der Algorithmus nicht zur Verfügung. - Nur ein Plugin sollte das Hashing bestimmen: Falls ein weiteres Security-Plugin ebenfalls am Passwort-Hashing dreht, kläre Zuständigkeiten — sonst überschreiben sich die Verfahren gegenseitig.
- Reproduzierbare Updates: Ab Version 2.0.2 nutzt das Plugin sichere, selbst gehostete Updates über GitHub mit SHA256-Prüfsummen und arbeitet mit
declare(strict_types=1).
Weiterführende Informationen
- Quellcode auf GitHub: https://github.com/JPKCom/jpkcom-argon2
- API-Dokumentation (PHPDoc): https://jpkcom.github.io/jpkcom-argon2/docs/
- Hintergrund: WordPress 6.8 & Passwort-Hashing
- Changelog dieses Projekts