为什么密码可以在WordPress中导出为纯文本？

在WordPress 3.9.2安装上，我可以通过转到“用户”，选择所有用户，然后选择“批量操作导出”来提取用户的纯文本密码。

当我使用phpMyAdmin查找mySQL数据库时，密码将被哈希化。

题

为什么所有用户密码都可以以纯文本格式导出，如何防止这种情况？

更新资料

当我导出一个用户或“导出所有用户”时，我得到的输出与此类似

User ID,Username,Payment Status,First Name,Last Name,Address,Zip,City,Country,Date,Sex,Phone no.,Email,Company,Password,TOS,Website,AIM,Yahoo IM,Jabber/Google Talk,Biographical Info,Registered,IP
"31","xxx","paid","Jasmine","Lognnes","xxx","xxx","xxx","","xxx","female","","xxx","xxx","xxx","agree","","","","","","2012-01-26 18:13:19","xxx"

您无法在WordPress中将密码导出为纯文本格式，因为它们不是以纯文本格式存储的。您在这里看到的显然是一个非常糟糕的插件的结果。

领域，如Payment，Sex或Company不正规的WordPress表的甚至一部分。

面向未来：请勿在安全的环境中安装未经事先测试和审查的插件。使用本地设置来查找此类安全问题。尤其是在处理其他人的数据时，这是必需的。

您现在应该做什么：禁用所有插件，直到无法再导出为止。最后一个禁用的插件可能是问题所在。找到它已创建的所有表，然后删除这些表。卸载该插件。

这是wp-members插件中的错误。其他人报告了相同的错误。

• http://user-meta.com/forums/topic/able-to-save-plain-text-passwords-as-a-user-meta-value/
• http://wordpress.org/support/topic/wp-member-passwords-are-stored-in-clear-text-in-database-highly-insecure