WordPressでパスワードがプレーンテキストとしてエクスポートできるのはなぜですか？

WordPress 3.9.2のインストールで、[ユーザー]に移動し、すべてのユーザーを選択して、[一括アクションエクスポート]を選択して、ユーザーのプレーンテキストパスワードを抽出できます。

phpMyAdminでmySQLデータベースを調べると、パスワードがハッシュ化されています。

質問

すべてのユーザーパスワードをプレーンテキストでエクスポートできるのはなぜですか。これを防ぐにはどうすればよいですか。

更新

1人のユーザーまたは「すべてのユーザーをエクスポート」をエクスポートすると、次のような出力が表示されます

User ID,Username,Payment Status,First Name,Last Name,Address,Zip,City,Country,Date,Sex,Phone no.,Email,Company,Password,TOS,Website,AIM,Yahoo IM,Jabber/Google Talk,Biographical Info,Registered,IP
"31","xxx","paid","Jasmine","Lognnes","xxx","xxx","xxx","","xxx","female","","xxx","xxx","xxx","agree","","","","","","2012-01-26 18:13:19","xxx"

パスワードはプレーンテキストで保存されていないため、WordPressではパスワードをプレーンテキストとしてエクスポートできません。ここに表示されるのは、明らかに非常に悪いプラグインの結果です。

フィールドのようなPayment、SexまたはCompany通常のWordPressのテーブルの一部でもありません。

今後のために：安全な環境で事前のテストとレビューなしにプラグインをインストールしないでください。ローカルの設定を使用して、このようなセキュリティの問題を見つけてください。特に他の人のデータを扱う場合、これは必須条件です。

今すべきこと：このエクスポートができなくなるまで、すべてのプラグインを無効にします。最後に無効にされたプラグインがおそらく問題でした。作成したすべてのテーブルを検索し、それらのテーブルを削除します。そのプラグインをアンインストールします。

wp-membersプラグインのバグです。他の人が同じエラーを報告しています。

• http://user-meta.com/forums/topic/able-to-save-plain-text-passwords-as-a-user-meta-value/
• http://wordpress.org/support/topic/wp-member-passwords-are-stored-in-clear-text-in-database-highly-insecure