Для совместимости с предыдущими версиями скриптов Webasyst во фреймворке по умолчанию используется очень простой и нестойкий алгоритм хеширования пользовательских паролей, позволяющий довольно быстро восстанавливать пароль методом перебора. Для хеширования по-умолчнию используется функция PHP md5().
В качестве рекомендации, в глубине документации сказано, что с версии фреймворка 1.0.8 можно задать собственную функцию для хэширования. Но есть одна неочевидная тонкость: для хранения хэша Webasyst Framework использует поле БД длиной 32 знака. То есть сохранить хеш SHA256 (64 знака) не получится. Поэтому как ни соли, какие методы хэширования ни применяй, функция wa_password_hash() должна возвращать строку не более 32 символов, то есть md5() от результата.