为什么在WordPress中密码可以作为纯文本导出?

时间:2014-08-18 作者:Jasmine Lognnes

在WordPress 3.9.2安装中,我可以通过转到“用户”,选择“所有用户”,然后选择“批量操作导出”来提取用户的纯文本密码。

当我使用phpMyAdmin查看mySQL数据库时,密码是散列的。

Question

为什么所有用户密码都可以以纯文本形式导出,我如何防止这种情况发生?

Update

当我导出一个用户或“导出所有用户”时,我得到的输出与此类似

User ID,Username,Payment Status,First Name,Last Name,Address,Zip,City,Country,Date,Sex,Phone no.,Email,Company,Password,TOS,Website,AIM,Yahoo IM,Jabber/Google Talk,Biographical Info,Registered,IP
"31","xxx","paid","Jasmine","Lognnes","xxx","xxx","xxx","","xxx","female","","xxx","xxx","xxx","agree","","","","","","2012-01-26 18:13:19","xxx"

2 个回复
最合适的回答,由SO网友:fuxia 整理而成

您不能在WordPress中以明文形式导出密码,因为密码不是以明文形式存储的。你在这里看到的显然是一个非常糟糕的插件的结果。

字段,如Payment, SexCompany 甚至不是常规WordPress表的一部分。

对于未来:在安全的环境中,未经事先测试和审查,请勿安装插件。使用本地设置查找此类安全问题。尤其是在处理其他人的数据时,这是一个requirement.

现在应该做什么:禁用所有插件,直到无法再导出为止。最后一个被禁用的插件可能就是问题所在。找到它创建的所有表,删除这些表。卸载该插件。

SO网友:Jasmine Lognnes

这是一个错误wp-members 插件。其他人也报告了同样的错误。

结束
标签: security   password   小码农  

相关推荐

Security and Must Use Plugins

从codex article 必须使用插件:只需将文件上载到mu插件目录即可启用,无需登录我觉得这是一个潜在的安全问题。在站点上运行插件中的任何代码之前,必须通过管理面板激活常规插件。我一直认为这是一个明智的安全预防措施,因为攻击者如果能够以某种方式将文件上载到plugins文件夹,则在运行代码之前,还必须访问和修改数据库。这个mu-plugins 文件夹似乎提供了一种简单的方法来避免这种情况。我知道WordPress开发人员比我更了解安全性,所以我想知道是否有人能解释为什么这不是一个安全漏洞。