WordPressでパスワードがプレーンテキストとしてエクスポート可能なのはなぜですか?
私のWordPress 3.9.2インストールでは、Usersに行き、すべてのユーザーを選択し、Bulk Actions Exportを選択することで、ユーザーのプレーンテキストパスワードを抽出できます。
MySQLデータベースをphpMyAdminで見ると、パスワードがハッシュされています。
質問
どのようにしてすべてのユーザーパスワードをプレーンテキストでエクスポートできるようになりますか。また、どうすればこれを防ぐことができますか?
アップデート
1人のユーザーをエクスポートするか、「すべてのユーザーをエクスポート」を実行すると、次のような出力が得られます。
User ID,Username,Payment Status,First Name,Last Name,Address,Zip,City,Country,Date,Sex,Phone no.,Email,Company,Password,TOS,Website,AIM,Yahoo IM,Jabber/Google Talk,Biographical Info,Registered,IP
"31","xxx","paid","Jasmine","Lognnes","xxx","xxx","xxx","","xxx","female","","xxx","xxx","xxx","agree","","","","","","2012-01-26 18:13:19","xxx"
パスワードは平文で保存されていないため、WordPressで平文としてパスワードをエクスポートすることはできません。あなたがここで見ているものは明らかに非常に悪いプラグインの結果です。
Payment、Sex、Companyのようなフィールドは通常のWordPressテーブルの一部でさえありません。
将来のために:安全な環境で事前のテストやレビューなしでプラグインをインストールしないでください。このようなセキュリティ上の問題を見つけるには、ローカルセットアップを使用してください。特にあなたが他の人々のデータを扱っているとき、これは 要件 です。
今しなければならないこと:このエクスポートができなくなるまで、すべてのプラグインを無効にします。最後の無効化されたプラグインがおそらく問題でした。作成したすべてのテーブルを見つけ、それらのテーブルを削除します。そのプラグインをアンインストールします。