O WordPress possui duas formas de validação de senhas ao logar. Aceita MD5 e sua prórpria criptografia.
Sim, você pode inserir uma senha md5 no direto na base de dados que ele vai entender, a diferença é que quando vc utilizar uma senha md5 automaticamente ele vai autenticar e atualizar para criptografia mais recent.
Na versão 2.5.0 lançada em 27 de março de 2008 se criou a classe responsável pela nova criptografia, chamada de PasswordHash utilizando pacote phpass utilizando solar at openwall.com.
Com implementação dessa nova classe e para continuar dando suporte a forma de autenticação antiga utilizando md5 foi criado o método wp_check_password identificar os dois tipos de senhas.
Esse é o método que faz a validação com md5 ou passa para o método moderno.
function wp_check_password( $password, $hash, $user_id = '' ) { global $wp_hasher; // If the hash is still md5... if ( strlen( $hash ) <= 32 ) { $check = hash_equals( $hash, md5( $password ) ); if ( $check && $user_id ) { // Rehash using new hash. wp_set_password( $password, $user_id ); $hash = wp_hash_password( $password ); } ... return apply_filters( 'check_password', $check, $password, $hash, $user_id ); } ... if ( empty( $wp_hasher ) ) { // By default, use the portable hash from phpass $wp_hasher = new PasswordHash( 8, true ); } $check = $wp_hasher->CheckPassword( $password, $hash ); /** This filter is documented in wp-includes/pluggable.php */ return apply_filters( 'check_password', $check, $password, $hash, $user_id ); }