Почему пароли можно экспортировать как обычный текст в WordPress?

В моей установке WordPress 3.9.2 я могу извлечь пароли пользователей в виде простого текста, зайдя в раздел «Пользователи», выбрав всех пользователей и выбрав «Экспорт групповых действий».

Когда я смотрю в базу данных mySQL с phpMyAdmin, пароли хешируются.

Вопрос

Почему все пароли пользователей могут быть экспортированы в виде простого текста, и как я могу предотвратить это?

Обновить

Когда я либо экспортирую одного пользователя, либо «Экспортирую всех пользователей», я получаю вывод, похожий на этот

User ID,Username,Payment Status,First Name,Last Name,Address,Zip,City,Country,Date,Sex,Phone no.,Email,Company,Password,TOS,Website,AIM,Yahoo IM,Jabber/Google Talk,Biographical Info,Registered,IP
"31","xxx","paid","Jasmine","Lognnes","xxx","xxx","xxx","","xxx","female","","xxx","xxx","xxx","agree","","","","","","2012-01-26 18:13:19","xxx"

Вы не можете экспортировать пароли как открытый текст в WordPress, потому что они не хранятся в открытом тексте. То, что вы видите здесь, очевидно, является результатом очень плохого плагина.

Поля, как Payment, Sexили Companyдаже не являются частью обычных таблиц WordPress.

На будущее: не устанавливайте плагины без предварительного тестирования и проверки в безопасной среде. Используйте локальную настройку, чтобы найти такие проблемы безопасности. Особенно, когда вы имеете дело с данными других людей, это требование .

Что вы должны сделать сейчас: отключите все плагины, пока этот экспорт больше не будет возможен. Вероятно, проблема была в последнем отключенном плагине. Найдите все таблицы, которые он создал, удалите эти таблицы. Удалите этот плагин.

Это ошибка в wp-membersплагине. Другие сообщили о той же ошибке.

• http://user-meta.com/forums/topic/able-to-save-plain-text-passwords-as-a-user-meta-value/
• http://wordpress.org/support/topic/wp-member-passwords-are-stored-in-clear-text-in-database-highly-insecure