Tại sao mật khẩu có thể xuất dưới dạng văn bản thuần túy trong WordPress?


8

Khi cài đặt WordPress 3.9.2, tôi có thể trích xuất mật khẩu văn bản đơn giản của người dùng bằng cách truy cập Người dùng, chọn tất cả người dùng và chọn Xuất hành động hàng loạt.

Khi tôi tìm trong cơ sở dữ liệu myQuery bằng phpMyAdmin, mật khẩu được băm.

Câu hỏi

Làm thế nào đến tất cả mật khẩu người dùng có thể được xuất ra dưới dạng văn bản thuần túy và làm cách nào tôi có thể ngăn chặn điều này?

Cập nhật

Khi tôi xuất một người dùng hoặc "Xuất tất cả người dùng", tôi nhận được kết quả tương tự như thế này

User ID,Username,Payment Status,First Name,Last Name,Address,Zip,City,Country,Date,Sex,Phone no.,Email,Company,Password,TOS,Website,AIM,Yahoo IM,Jabber/Google Talk,Biographical Info,Registered,IP
"31","xxx","paid","Jasmine","Lognnes","xxx","xxx","xxx","","xxx","female","","xxx","xxx","xxx","agree","","","","","","2012-01-26 18:13:19","xxx"

7
Tôi chỉ thấy tùy chọn "Xóa" trong "Hành động hàng loạt" trong trang Người dùng (WP 3.9.2) với tất cả người dùng đã chọn: d.pr/i/M2YO Bạn có đang sử dụng plugin để có chức năng xuất người dùng không?
Nick

1
@JasmineLognnes Một vài cách bạn có thể điều tra: (A) Tải toàn bộ /wp-content/plugins/thư mục về máy của bạn, sau đó tìm kiếm pluginsthư mục cho từ, xuất khẩu xuất khẩu bằng cách sử dụng dòng lệnh hoặc trình soạn thảo văn bản hỗ trợ tìm kiếm nhiều tệp . (B) Tái tạo toàn bộ trang web trên máy cục bộ của bạn, sau đó tắt plugin cho đến khi tính năng Xuất biến mất.
Nick

4
Bạn có chắc chắn rằng bạn đang nhìn thấy mật khẩu văn bản đơn giản? Chưa bao giờ có một tùy chọn như vậy trong WordPress. Nó đã sử dụng phpass kể từ 2.5 và md5 băm trước đó.
Michael Hampton

1
@JasmineLognnes Có vẻ như plugin đó đáng để nghiên cứu thêm. Rất khó để xuất mật khẩu văn bản gốc từ các mật khẩu được băm được lưu trữ trong cơ sở dữ liệu, nhưng tôi cho rằng có thể một plugin độc hại hoặc suy nghĩ kém đang lưu mật khẩu bằng văn bản đơn giản khi chúng được nhập khi người dùng đăng nhập? Sẽ rất đáng để sử dụng PhpMyAdmin để tìm kiếm cơ sở dữ liệu cho một trong những mật khẩu văn bản gốc - nó có thể trỏ đến plugin đã thêm các hàng đó vào cơ sở dữ liệu. Nếu bạn tìm ra thủ phạm, đừng quên trả lời câu hỏi của riêng bạn - thật thú vị khi biết thêm.
Nick

2
Nếu bạn ở Vương quốc Anh và chấp nhận thanh toán và đã lưu mật khẩu văn bản gốc hoặc ở định dạng mã hóa 2 chiều, như câu hỏi của bạn cho thấy, thì bạn sẽ không tuân thủ PCI và việc triển khai của bạn sẽ là bất hợp pháp
Tom J Nowell

Câu trả lời:


15

Bạn không thể xuất mật khẩu dưới dạng bản rõ trong WordPress, vì chúng không được lưu trữ trong bản rõ. Những gì bạn thấy ở đây rõ ràng là kết quả của một plugin rất tệ.

Các trường như Payment, Sexhoặc Companythậm chí không phải là một phần của các bảng WordPress thông thường.

Trong tương lai: Không cài đặt plugin mà không có kiểm tra và đánh giá trước trong môi trường an toàn. Sử dụng một thiết lập cục bộ để tìm các vấn đề bảo mật như vậy. Đặc biệt là khi bạn đang làm việc với dữ liệu của người khác, đây là một yêu cầu .

Những gì bạn nên làm bây giờ: Vô hiệu hóa tất cả các plugin cho đến khi việc xuất này không thể thực hiện được nữa. Các plugin bị vô hiệu hóa cuối cùng có lẽ là vấn đề. Tìm tất cả các bảng mà nó đã tạo, xóa các bảng đó. Gỡ cài đặt plugin đó.


8

5
Lỗi ở đây là một UI kém. Có vẻ như các thành viên wp cho phép bạn thêm các trường tùy chỉnh vào biểu mẫu đăng ký, bao gồm cả trường "mật khẩu". Điều không rõ ràng (dễ hiểu) đối với người dùng là các trường được thêm này chỉ để thu thập dữ liệu meta và "mật khẩu" chỉ đề cập đến loại đầu vào HTML và không liên quan gì đến mật khẩu WP của người dùng, cũng không đi kèm với bất kỳ đảm bảo nào về lưu trữ nó một cách an toàn.
Stephen Harris

2
Toscho đã có phiếu bầu;) nhưng tôi nghĩ nhận xét này là câu trả lời tốt hơn nhiều ....
Mark Kaplun

Trên thực tế, đây không phải là một câu trả lời tốt hơn. Đây không phải là một lỗi trong plugin, mà là "lỗi người dùng". Trong hai bài viết được liên kết đến trong câu trả lời này, bài đầu tiên thậm chí không nói về Thành viên WP. Đó là nói về một plugin hoàn toàn khác và không liên quan, người dùng meta pro. Và nếu bất cứ ai bận tâm đọc bài đăng thứ hai được liên kết đến, bạn sẽ thấy câu trả lời cho điều này là do cách người dùng định cấu hình các trường tùy chỉnh của họ chứ không phải thứ gì đó vốn có trong plugin. Plugin không lưu trữ mật khẩu dưới dạng văn bản thuần túy, cũng như meta người dùng.
butlerblog 04/03/2015
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.