Mengapa kata sandi dapat diekspor sebagai teks biasa di WordPress?

Pada instalasi WordPress 3.9.2 saya dapatkah saya mengekstrak kata sandi teks biasa pengguna dengan membuka Pengguna, memilih semua pengguna, dan memilih Ekspor Tindakan Massal.

Ketika saya melihat di database mySQL dengan phpMyAdmin, kata sandi di-hash.

Pertanyaan

Kenapa semua kata sandi pengguna dapat diekspor dalam teks biasa, dan bagaimana saya bisa mencegahnya?

Memperbarui

Ketika saya mengekspor satu pengguna atau "Ekspor Semua Pengguna" saya mendapatkan hasil yang mirip dengan ini

User ID,Username,Payment Status,First Name,Last Name,Address,Zip,City,Country,Date,Sex,Phone no.,Email,Company,Password,TOS,Website,AIM,Yahoo IM,Jabber/Google Talk,Biographical Info,Registered,IP
"31","xxx","paid","Jasmine","Lognnes","xxx","xxx","xxx","","xxx","female","","xxx","xxx","xxx","agree","","","","","","2012-01-26 18:13:19","xxx"

Anda tidak dapat mengekspor kata sandi sebagai plaintext di WordPress, karena tidak disimpan dalam plaintext. Apa yang Anda lihat di sini jelas merupakan hasil dari plugin yang sangat buruk.

Bidang suka Payment, Sexatau Companybahkan bukan bagian dari tabel WordPress biasa.

Untuk masa depan: Jangan pasang plugin tanpa tes dan ulasan sebelumnya di lingkungan yang aman. Gunakan pengaturan lokal untuk menemukan masalah keamanan seperti itu. Terutama ketika Anda berurusan dengan data orang lain, ini merupakan persyaratan .

Apa yang harus Anda lakukan sekarang: Nonaktifkan semua plugin hingga ekspor ini tidak dimungkinkan lagi. Plugin yang dinonaktifkan terakhir mungkin masalahnya. Temukan semua tabel yang telah dibuat, hapus tabel itu. Copot pemasangan plugin itu.

Ini adalah bug dalam wp-membersplugin. Yang lain melaporkan kesalahan yang sama.

• http://user-meta.com/forums/topic/able-to-save-plain-text-passwords-as-a-user-meta-value/
• http://wordpress.org/support/topic/wp-member-passwords-are-stored-in-clear-text-in-database-highly-insecure