Warum können Passwörter in WordPress als einfacher Text exportiert werden?
In meiner WordPress 3.9.2-Installation kann ich die Klartext-Passwörter der Benutzer extrahieren, indem ich zu Benutzer gehe, alle Benutzer auswähle und Massenaktionen exportieren wähle.
Wenn ich mit phpMyAdmin in der mySQL-Datenbank nachschaue, werden die Passwörter gehasht.
Frage
Wie kommt es, dass alle Benutzerkennwörter im Klartext exportiert werden können und wie kann ich dies verhindern?
Update
Wenn ich entweder einen Benutzer oder "Alle Benutzer exportieren" exportiere, erhalte ich eine ähnliche Ausgabe
User ID,Username,Payment Status,First Name,Last Name,Address,Zip,City,Country,Date,Sex,Phone no.,Email,Company,Password,TOS,Website,AIM,Yahoo IM,Jabber/Google Talk,Biographical Info,Registered,IP
"31","xxx","paid","Jasmine","Lognnes","xxx","xxx","xxx","","xxx","female","","xxx","xxx","xxx","agree","","","","","","2012-01-26 18:13:19","xxx"
Sie können Passwörter in WordPress nicht als Klartext exportieren, da sie nicht im Klartext gespeichert sind. Was Sie hier sehen, ist offensichtlich das Ergebnis eines sehr schlechten Plugins.
Felder wie Payment, Sex oder Company sind nicht einmal Teil der regulären WordPress-Tabellen.
Für die Zukunft: Installieren Sie Plugins nicht ohne vorherige Tests und Überprüfungen in einer sicheren Umgebung. Verwenden Sie ein lokales Setup, um solche Sicherheitsprobleme zu finden. Insbesondere wenn Sie mit Daten anderer Personen zu tun haben, ist dies eine Anforderung .
Was Sie jetzt tun sollten: Deaktivieren Sie alle Plugins, bis dieser Export nicht mehr möglich ist. Das letzte deaktivierte Plugin war wahrscheinlich das Problem. Suchen Sie alle erstellten Tabellen, und löschen Sie diese Tabellen. Deinstalliere das Plugin.
Es ist ein Fehler im wp-members Plugin. Andere haben den gleichen Fehler gemeldet.