在 WordPress 中，為什麼密碼可以純文本導出？

問題描述

在我的 WordPress 3.9.2 安裝中，我可以通過轉到用户，選擇所有用户，並選擇批量操作導出來提取用户明文密碼。

當我使用 phpMyAdmin 查看 mySQL 數據庫時，密碼是散列的。

題

所有用户密碼如何以純文本格式導出，如何防止這種情況？

更新

當我導出一個用户或 「導出所有用户」 時，我得到類似的輸出

User ID,Username,Payment Status,First Name,Last Name,Address,Zip,City,Country,Date,Sex,Phone no.,Email,Company,Password,TOS,Website,AIM,Yahoo IM,Jabber/Google Talk,Biographical Info,Registered,IP
"31","xxx","paid","Jasmine","Lognnes","xxx","xxx","xxx","","xxx","female","","xxx","xxx","xxx","agree","","","","","","2012-01-26 18:13:19","xxx"

最佳解決方案

您不能將密碼導出為 WordPress 中的明文，因為它們不以明文形式存儲。你在這裏看到的顯然是一個非常糟糕的插件的結果。

像 Payment，Sex 或 Company 這樣的字段不是常規 WordPress 表的一部分。

未來：不要在安全的環境中安裝未經測試和評論的插件。使用本地設置找到這樣的安全問題。特別是在處理其他人的數據時，這是一個要求。

您現在應該做什麼：禁用所有插件，直到不再可以導出。最後一個禁用的插件可能是問題。找到它創建的所有表，刪除這些表。卸載該插件。

次佳解決方案

這是 wp-members 插件中的錯誤。其他人也報了同樣的錯誤。

• http://user-meta.com/forums/topic/able-to-save-plain-text-passwords-as-a-user-meta-value/

• http://wordpress.org/support/topic/wp-member-passwords-are-stored-in-clear-text-in-database-highly-insecure

參考文獻

• Why are passwords exportable as plain text in WordPress?

注：本文內容整合自 Google/Baidu/Bing 輔助翻譯的英文資料結果。如果您對結果不滿意，可以加入我們改善翻譯效果：薇曉朵技術論壇。