Pourquoi les mots de passe sont-ils exportables sous forme de texte brut dans WordPress?
Sur mon installation WordPress 3.9.2, puis-je extraire les mots de passe en texte brut des utilisateurs en allant dans Utilisateurs, sélectionnez tous les utilisateurs et en choisissant Exportation en bloc des actions.
Quand je regarde dans la base de données mySQL avec phpMyAdmin, les mots de passe sont hachés.
Question
Pourquoi tous les mots de passe des utilisateurs peuvent-ils être exportés en texte brut et comment puis-je empêcher cela?
Mettre à jour
Lorsque j'exporte un utilisateur ou "Exporter tous les utilisateurs", le résultat est similaire à celui-ci.
User ID,Username,Payment Status,First Name,Last Name,Address,Zip,City,Country,Date,Sex,Phone no.,Email,Company,Password,TOS,Website,AIM,Yahoo IM,Jabber/Google Talk,Biographical Info,Registered,IP
"31","xxx","paid","Jasmine","Lognnes","xxx","xxx","xxx","","xxx","female","","xxx","xxx","xxx","agree","","","","","","2012-01-26 18:13:19","xxx"
Vous ne pouvez pas exporter les mots de passe sous forme de texte en clair dans WordPress, car ils ne sont pas stockés en texte en clair. Ce que vous voyez ici est évidemment le résultat d'un très mauvais plugin.
Des champs tels que Payment, Sex ou Company ne font même pas partie des tables WordPress classiques.
Pour l’avenir: n’installez pas de plug-in sans tests et revues préalables dans un environnement sécurisé. Utilisez une configuration locale pour rechercher ces problèmes de sécurité. En particulier lorsque vous traitez avec des données d’autres peuples, il s’agit d’un exigence .
Ce que vous devez faire maintenant: Désactivez tous les plugins jusqu'à ce que cette exportation ne soit plus possible. Le dernier plugin désactivé était probablement le problème. Trouvez toutes les tables qu'il a créées, supprimez-les. Désinstallez ce plugin.
C'est un bug dans le plugin wp-members. D'autres ont signalé la même erreur.