Можно хранить к примеру несколько видов хешей - старые md5 и новые, полученные функцией password_hash.
А в самом коде проверять, если хэш начинается с $ - то это новый хэш, проверять его через password_verify, а если нет - то это старый хэш, проверять его примерно так:
if (hash_equals(md5($password), $hash))
Ну и в том случае, если хэш старого формата подошёл, то не просто пустить пользователя, но и сгенерировать из введённого им пароля новый хэш функцией password_hash и сохранить его в бд, чтобы со временем старые хэши заменились на новые.
