在 WordPress 中，为什么密码可以纯文本导出？

问题描述

在我的 WordPress 3.9.2 安装中，我可以通过转到用户，选择所有用户，并选择批量操作导出来提取用户明文密码。

当我使用 phpMyAdmin 查看 mySQL 数据库时，密码是散列的。

题

所有用户密码如何以纯文本格式导出，如何防止这种情况？

更新

当我导出一个用户或 “导出所有用户” 时，我得到类似的输出

User ID,Username,Payment Status,First Name,Last Name,Address,Zip,City,Country,Date,Sex,Phone no.,Email,Company,Password,TOS,Website,AIM,Yahoo IM,Jabber/Google Talk,Biographical Info,Registered,IP
"31","xxx","paid","Jasmine","Lognnes","xxx","xxx","xxx","","xxx","female","","xxx","xxx","xxx","agree","","","","","","2012-01-26 18:13:19","xxx"

最佳解决方案

您不能将密码导出为 WordPress 中的明文，因为它们不以明文形式存储。你在这里看到的显然是一个非常糟糕的插件的结果。

像 Payment，Sex 或 Company 这样的字段不是常规 WordPress 表的一部分。

未来：不要在安全的环境中安装未经测试和评论的插件。使用本地设置找到这样的安全问题。特别是在处理其他人的数据时，这是一个要求。

您现在应该做什么：禁用所有插件，直到不再可以导出。最后一个禁用的插件可能是问题。找到它创建的所有表，删除这些表。卸载该插件。

次佳解决方案

这是 wp-members 插件中的错误。其他人也报了同样的错误。

• http://user-meta.com/forums/topic/able-to-save-plain-text-passwords-as-a-user-meta-value/

• http://wordpress.org/support/topic/wp-member-passwords-are-stored-in-clear-text-in-database-highly-insecure

参考文献

• Why are passwords exportable as plain text in WordPress?

注：本文内容整合自 Google/Baidu/Bing 辅助翻译的英文资料结果。如果您对结果不满意，可以加入我们改善翻译效果：薇晓朵技术论坛。