WordPress で同時ユーザーセッション数を制限する方法

English version: How to limit the number of concurrent user sessions in WordPress

デフォルトでは、WordPress にはユーザーが作成できる同時セッションの数に制限はありません。これにより、ユーザーのセキュリティが侵害され、個人データが漏洩するリスクが生じる可能性があります。

WP Cerber のプロフェッショナル バージョンでは、ユーザーが同時に開くことができるユーザー セッションの数に制限を設定することで、ユーザー アカウントのセキュリティを強化できます。制限は、ユーザー ロールごとに個別に設定できます。

同時ユーザーセッション制限を構成する方法

1. ユーザーポリシー設定ページに移動します
2. 制限を設定する役割を選択します
3. 許可される同時ユーザーセッション数設定フィールドで希望する数を指定します。
4. 同時ユーザーセッションの制限に達した場合のポリシーを設定します

Configuring the limits to the number of concurrent user sessions in WordPress

2要素認証で同時ユーザーセッションを制限する方法

1. ユーザーポリシー設定ページに移動します
2. 制限を設定する役割を選択します
3. 2要素認証の場合は「詳細モード」を選択します
4. 同時ユーザーセッション数が多い場合の設定フィールドで、希望する数を指定します。この数は、許可される同時ユーザーセッション数で指定された数よりも小さくする必要があります。アクティブなユーザーセッションの数は、新しいユーザーセッションを含めて計算されます。したがって、1 を指定した場合、2 回目以降のログイン試行では、ユーザーは 2FA 検証プロセスを完了する必要があります。

Configuring the limits to the number of concurrent user sessions in WordPress with two-factor authentication

WordPress の 2 要素認証を設定する方法について詳しくは、こちらをご覧ください。

制限を無効にする方法

構成フィールドを空のままにするか、0 (ゼロ) を指定すると、制限機能はアクティブになりません。

ユーザーアクティビティを監視する方法

制限を設定したら、アクティビティ ログ ページで関連イベントを監視できます。設定に応じて、WP Cerber は次のイベントを記録します。

• ログインの試みが拒否されました (同時ユーザー セッションの制限)。このイベントは、ユーザーが制限に達したことを意味し、それ以上のログインの試みは拒否されます。
• ユーザー セッションが終了しました (同時ユーザー セッションの制限)。このイベントは、ユーザーが制限に達し、最も古いユーザーのセッションが WP Cerber によって終了され、ユーザーが新しいセッションで Web サイトにログインできるようになったことを意味します。
• 2 要素認証が強制されました。このイベントは、同時ユーザー セッション数が制限を超えたことを意味し、新しいログインに対して 2FA が開始されます。

結論

同時ユーザー セッションの数を制限すると、次の利点が得られます。

• 放棄されたセッションによる個人データ漏洩のリスクを軽減
• 複数のコンピュータ間で資格情報を再利用することで、ユーザーアカウントが侵害されるリスクを軽減します。
• ユーザーが WordPress のユーザー名、パスワード、アカウントを共有するのを防ぎます。

同時に、この記事で説明されているすべての機能は、ログイン試行の制限機能とは何の関係もなく、その機能を置き換えるものでもありません。同時ユーザーセッションの数を制限することは、WordPress のプロレベルの防御を実現するための追加のセキュリティ対策です。