WordPressで同時ユーザーセッション数を制限する方法

English version: How to limit the number of concurrent user sessions in WordPress

WordPressでは、デフォルトではユーザーが同時に作成できるセッション数に制限がありません。これは、ユーザーのセキュリティ侵害や個人データ漏洩のリスクにつながる可能性があります。

WP Cerberのプロフェッショナル版では、ユーザーが同時に開くことができるセッション数を制限することで、ユーザーアカウントのセキュリティを強化できます。制限値はユーザーロールごとに個別に設定可能です。

同時ユーザーセッション制限の設定方法

1. ユーザーポリシー設定ページに移動します。
2. 制限を設定するロールを選択してください
3. 「同時ユーザーセッション数」設定フィールドに希望する数を指定してください。
4. 同時ユーザーセッション数の制限に達した場合のポリシーを設定します。

Configuring the limits to the number of concurrent user sessions in WordPress

二要素認証で同時ユーザーセッションを制限する方法

1. ユーザーポリシー設定ページに移動します。
2. 制限を設定するロールを選択してください
3. 二段階認証の場合は、「詳細モード」を選択してください。
4. 「同時ユーザーセッション数がこれより大きい場合」設定フィールドに、希望する数を指定してください。この数は、「許可される同時ユーザーセッション数」で指定した数よりも小さくする必要があります。アクティブなユーザーセッション数は、新しいユーザーセッションを含めて計算されます。したがって、1を指定した場合、2回目以降のログイン試行では、ユーザーは2要素認証プロセスを完了する必要があります。

Configuring the limits to the number of concurrent user sessions in WordPress with two-factor authentication

WordPressで二段階認証を設定する方法については、こちらをご覧ください。

制限を無効にする方法

設定フィールドを空欄にするか、0（ゼロ）を指定した場合、制限機能は有効になりません。

ユーザーアクティビティを監視する方法

制限を設定したら、アクティビティログページで関連イベントを監視できます。設定に応じて、WP Cerber は以下のイベントをログに記録します。

• ログイン試行が拒否されました（同時ユーザーセッション数の制限）。このイベントは、ユーザーが制限に達したことを意味し、それ以降のログイン試行は拒否されます。
• ユーザーセッションが終了しました（同時ユーザーセッション数の制限）。このイベントは、ユーザーが制限に達し、最も古いユーザーのセッションがWP Cerberによって終了されたことを意味します。これにより、ユーザーは新しいセッションでウェブサイトにログインできるようになります。
• 二段階認証が有効になりました。これは、同時接続ユーザーセッション数が上限を超えたことを意味し、新規ログイン時に二段階認証が開始されます。

結論

同時ユーザーセッション数を制限することで、以下の利点が得られます。

• セッション放棄による個人データ漏洩のリスクを軽減する
• 複数のコンピューター間で認証情報を再利用することで、ユーザーアカウントの侵害リスクを軽減する。
• ユーザーがWordPressのユーザー名、パスワード、アカウント情報を共有することを防止します。

同時に、この記事で説明するすべての機能は、ログイン試行回数制限機能とは一切関係がなく、また、その機能を代替するものでもありません。同時ユーザーセッション数を制限することは、WordPressをプロフェッショナルレベルのセキュリティで保護するための追加のセキュリティ対策です。