Pourquoi les mots de passe sont-ils exportables en texte brut dans WordPress?

8

Sur mon installation WordPress 3.9.2, puis-je extraire les mots de passe en texte brut des utilisateurs en accédant à Utilisateurs, en sélectionnant tous les utilisateurs et en choisissant Exporter les actions en bloc.

Quand je regarde dans la base de données mySQL avec phpMyAdmin, les mots de passe sont hachés.

Question

Comment se fait-il que tous les mots de passe des utilisateurs puissent être exportés en texte brut, et comment puis-je empêcher cela?

Mise à jour

Lorsque j'exporte un utilisateur ou "Exporter tous les utilisateurs", j'obtiens une sortie similaire à celle-ci

User ID,Username,Payment Status,First Name,Last Name,Address,Zip,City,Country,Date,Sex,Phone no.,Email,Company,Password,TOS,Website,AIM,Yahoo IM,Jabber/Google Talk,Biographical Info,Registered,IP
"31","xxx","paid","Jasmine","Lognnes","xxx","xxx","xxx","","xxx","female","","xxx","xxx","xxx","agree","","","","","","2012-01-26 18:13:19","xxx"
security  password 
Jasmine Lognnes
source
7
Je ne vois qu'une option "Supprimer" sous "Actions en bloc" dans la page Utilisateurs (WP 3.9.2) avec tous les utilisateurs sélectionnés: d.pr/i/M2YO Utilisez -vous un plugin pour obtenir la fonctionnalité d'exportation des utilisateurs?
Nick
1
@JasmineLognnes Vous pouvez enquêter de deux manières: (A) Téléchargez l'intégralité du /wp-content/plugins/dossier sur votre ordinateur, puis recherchez pluginsle mot «Exporter» à l'aide de la ligne de commande ou d'un éditeur de texte prenant en charge la recherche multi-fichiers . (B) Recréez l'intégralité du site sur votre ordinateur local, puis désactivez les plug-ins jusqu'à ce que la fonction d'exportation disparaisse.
Nick
4
Êtes-vous absolument certain de voir des mots de passe en texte brut? Il n'y a jamais eu une telle option dans WordPress. Il utilise phpass depuis 2.5 et les hachages md5 avant cela.
Michael Hampton
1
@JasmineLognnes Il semble que ce plugin mérite d'être approfondi. Il est très difficile d'exporter des mots de passe en texte brut à partir de ceux hachés stockés dans la base de données, mais je suppose qu'il est possible qu'un plugin malveillant ou mal pensé enregistre les mots de passe en texte brut lorsqu'ils sont saisis lorsque les utilisateurs se connectent? Il serait également utile d'utiliser PhpMyAdmin pour rechercher l'un des mots de passe en clair dans la base de données - cela pourrait pointer vers le plugin qui a ajouté ces lignes à la base de données. Si vous trouvez le coupable, n'oubliez pas de répondre à votre propre question - il serait intéressant d'en savoir plus.
Nick
2
Si vous êtes au Royaume-Uni et que vous acceptez des paiements et que vos mots de passe en clair sont enregistrés ou dans un format de cryptage à 2 voies, comme votre question le suggère, alors vous ne seriez pas conforme PCI et votre mise en œuvre serait illégale
Tom J Nowell

Réponses:

15

Vous ne pouvez pas exporter les mots de passe en texte brut dans WordPress, car ils ne sont pas stockés en texte brut. Ce que vous voyez ici est évidemment le résultat d'un très mauvais plugin.

Des domaines comme Payment, Sexou Companyne sont même pas partie des tables de WordPress réguliers.

Pour l'avenir: n'installez pas de plugins sans tests et tests préalables dans un environnement sûr. Utilisez une configuration locale pour trouver de tels problèmes de sécurité. Surtout lorsque vous traitez avec des données d'autres personnes, c'est une exigence .

Ce que vous devez faire maintenant: désactivez tous les plugins jusqu'à ce que cette exportation ne soit plus possible. Le dernier plugin désactivé était probablement le problème. Recherchez toutes les tables qu'il a créées, supprimez ces tables. Désinstallez ce plugin.

fuxia
source
8

C'est un bug dans le wp-membersplugin. D'autres ont signalé la même erreur.

Jasmine Lognnes
source
5
Le bug ici est une mauvaise interface utilisateur. Il semble que wp-members vous permet d'ajouter des champs personnalisés au formulaire d'inscription, y compris le champ "mot de passe". Ce qui n'est pas (naturellement) clair pour les utilisateurs, c'est que ces champs ajoutés sont uniquement destinés à la collecte de métadonnées, et le "mot de passe" se réfère uniquement au type d'entrée HTML et n'a rien à voir avec le mot de passe WP de l'utilisateur, ni ne fournit aucune garantie de le stocker en toute sécurité.
Stephen Harris
2
Toscho a déjà les votes;) mais je pense que ce commentaire est une bien meilleure réponse ....
Mark Kaplun
En fait, ce n'est pas une meilleure réponse. Ce n'est pas un bug dans le plugin, mais plutôt une "erreur utilisateur". Des deux articles liés à cette réponse, le premier ne parle même pas des membres WP. Il s'agit d'un plugin complètement différent et sans rapport, l'utilisateur meta pro. Et si quelqu'un prenait la peine de lire le deuxième post lié à, vous verriez que la réponse à cela est due à la façon dont l'utilisateur a configuré ses champs personnalisés et non à quelque chose d'inhérent au plugin. Le plugin ne stocke pas les mots de passe en texte brut, ni en tant que méta utilisateur.
butlerblog
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.