¿Por qué las contraseñas se pueden exportar como texto sin formato en WordPress?


8

En mi instalación de WordPress 3.9.2, ¿puedo extraer las contraseñas de texto sin formato de los usuarios yendo a Usuarios, seleccionar todos los usuarios y elegir Exportar acciones masivas?

Cuando miro en la base de datos mySQL con phpMyAdmin, las contraseñas se cifran.

Pregunta

¿Cómo es posible exportar todas las contraseñas de usuario en texto plano y cómo puedo evitarlo?

Actualizar

Cuando exporto un usuario o "Exportar todos los usuarios" obtengo resultados similares a este

User ID,Username,Payment Status,First Name,Last Name,Address,Zip,City,Country,Date,Sex,Phone no.,Email,Company,Password,TOS,Website,AIM,Yahoo IM,Jabber/Google Talk,Biographical Info,Registered,IP
"31","xxx","paid","Jasmine","Lognnes","xxx","xxx","xxx","","xxx","female","","xxx","xxx","xxx","agree","","","","","","2012-01-26 18:13:19","xxx"

77
Solo veo una opción "Eliminar" en "Acciones masivas" en la página Usuarios (WP 3.9.2) con todos los usuarios seleccionados: d.pr/i/M2YO ¿Está utilizando un complemento para obtener la funcionalidad de exportación del usuario?
Nick

1
@JasmineLognnes Puede investigar de varias maneras: (A) Descargue la /wp-content/plugins/carpeta completa en su máquina, luego busque pluginsla palabra "Exportar" en la línea de comandos o un editor de texto que admita la búsqueda de varios archivos . (B) Recree todo el sitio en su máquina local, luego apague los complementos hasta que desaparezca la función Exportar.
Nick

44
¿Estás absolutamente seguro de que estás viendo contraseñas de texto sin formato? Nunca ha habido tal opción en WordPress. Ha usado phpass desde 2.5 y hash md5 antes de eso.
Michael Hampton

1
@JasmineLognnes Parece que vale la pena investigar más sobre ese complemento. Es muy difícil exportar contraseñas de texto sin formato de las hash almacenadas en la base de datos, pero supongo que es posible que un complemento malintencionado o mal pensado guarde las contraseñas en texto sin formato cuando se escriben cuando los usuarios inician sesión. Valdría la pena usar PhpMyAdmin para buscar también en la base de datos una de las contraseñas de texto sin formato; podría apuntar al complemento que agregó esas filas a la base de datos. Si encuentra al culpable, no olvide responder su propia pregunta; sería interesante saber más.
Nick

2
Si se encuentra en el Reino Unido y acepta pagos, y tiene contraseñas de texto sin formato guardadas o en un formato de cifrado bidireccional, como sugiere su pregunta, entonces no sería compatible con PCI y su implementación sería ilegal
Tom J Nowell

Respuestas:


15

No puede exportar contraseñas como texto sin formato en WordPress, porque no están almacenadas en texto sin formato. Lo que ves aquí es obviamente el resultado de un complemento muy malo.

Campos como Payment, Sexo Companyni siquiera son parte de las tablas regulares de WordPress.

Para el futuro: no instale complementos sin pruebas y revisiones previas en un entorno seguro. Use una configuración local para encontrar estos problemas de seguridad. Especialmente cuando se trata de datos de otras personas, este es un requisito .

Lo que debe hacer ahora: deshabilite todos los complementos hasta que esta exportación ya no sea posible. El último complemento deshabilitado fue probablemente el problema. Encuentra todas las tablas que ha creado, elimina esas tablas. Desinstala ese complemento.


8

55
El error aquí es una mala interfaz de usuario. Parece que wp-members le permite agregar campos personalizados al formulario de registro, incluido el campo "contraseña". Lo que no está (comprensiblemente) claro para los usuarios es que estos campos agregados son solo para recopilar metadatos, y la "contraseña" se refiere solo al tipo de entrada HTML y no tiene nada que ver con la contraseña WP del usuario, ni viene con ninguna garantía de almacenándolo de forma segura.
Stephen Harris

2
Toscho ya tiene los votos;) pero creo que este comentario es una respuesta mucho mejor ...
Mark Kaplun

En realidad, esta no es una mejor respuesta. No es un error en el complemento, sino más bien "error del usuario". De las dos publicaciones vinculadas en esta respuesta, la primera ni siquiera habla de miembros de WP. Se trata de un complemento completamente diferente y no relacionado, el usuario meta pro. Y si alguien se molestara en leer la segunda publicación vinculada, vería que la respuesta a esto se debe a la forma en que el usuario configuró sus campos personalizados y no a algo inherente al complemento. El complemento no almacena las contraseñas como texto sin formato ni como meta del usuario.
butlerblog
Al usar nuestro sitio, usted reconoce que ha leído y comprende nuestra Política de Cookies y Política de Privacidad.
Licensed under cc by-sa 3.0 with attribution required.