В моей установке WordPress 3.9.2 я могу извлечь пароли пользователей в виде простого текста, зайдя в раздел «Пользователи», выбрав всех пользователей и выбрав «Экспорт групповых действий».
Когда я смотрю в базу данных mySQL с phpMyAdmin, пароли хешируются.
Вопрос
Почему все пароли пользователей могут быть экспортированы в виде простого текста, и как я могу предотвратить это?
Обновить
Когда я либо экспортирую одного пользователя, либо «Экспортирую всех пользователей», я получаю вывод, похожий на этот
User ID,Username,Payment Status,First Name,Last Name,Address,Zip,City,Country,Date,Sex,Phone no.,Email,Company,Password,TOS,Website,AIM,Yahoo IM,Jabber/Google Talk,Biographical Info,Registered,IP
"31","xxx","paid","Jasmine","Lognnes","xxx","xxx","xxx","","xxx","female","","xxx","xxx","xxx","agree","","","","","","2012-01-26 18:13:19","xxx"
/wp-content/plugins/папку на свой компьютер, затем найдите вpluginsпапке слово «Export» с помощью командной строки или текстового редактора, который поддерживает поиск по нескольким файлам . (B) Создайте заново весь сайт на вашем локальном компьютере, затем отключите плагины, пока не исчезнет функция экспорта.Ответы:
Вы не можете экспортировать пароли как открытый текст в WordPress, потому что они не хранятся в открытом тексте. То, что вы видите здесь, очевидно, является результатом очень плохого плагина.
Поля, как
Payment,SexилиCompanyдаже не являются частью обычных таблиц WordPress.На будущее: не устанавливайте плагины без предварительного тестирования и проверки в безопасной среде. Используйте локальную настройку, чтобы найти такие проблемы безопасности. Особенно, когда вы имеете дело с данными других людей, это требование .
Что вы должны сделать сейчас: отключите все плагины, пока этот экспорт больше не будет возможен. Вероятно, проблема была в последнем отключенном плагине. Найдите все таблицы, которые он создал, удалите эти таблицы. Удалите этот плагин.
источник
Это ошибка в
wp-membersплагине. Другие сообщили о той же ошибке.источник