WordPressで同時ユーザーセッション数を制限する方法

English version: How to limit the number of concurrent user sessions in WordPress

WordPressでは、ユーザーが作成できる同時セッション数にデフォルトで制限がありません。これにより、ユーザーのセキュリティが侵害され、個人データが漏洩するリスクが生じる可能性があります。

WP Cerberのプロフェッショナル版では、ユーザーが同時に開くことができるユーザーセッション数に制限を設定することで、ユーザーアカウントのセキュリティを強化できます。制限はユーザー権限ごとに個別に設定できます。

同時ユーザーセッション制限を構成する方法

1. ユーザーポリシー設定ページに移動します
2. 制限を設定するロールを選択します
3. 許可される同時ユーザーセッション数設定フィールドで希望する数を指定します。
4. 同時ユーザーセッションの制限に達した場合のポリシーを設定します

Configuring the limits to the number of concurrent user sessions in WordPress

二要素認証で同時ユーザーセッションを制限する方法

1. ユーザーポリシー設定ページに移動します
2. 制限を設定するロールを選択します
3. 二要素認証の場合は「詳細モード」を選択します
4. 「同時ユーザーセッション数が多い場合」設定フィールドで、希望する数を指定します。この数は、「許可される同時ユーザーセッション数」で指定した数よりも小さくする必要があります。アクティブなユーザーセッション数は、新規ユーザーセッションも含めて計算されます。したがって、1を指定した場合、2回目以降のログイン試行では、ユーザーは2FA認証プロセスを完了する必要があります。

Configuring the limits to the number of concurrent user sessions in WordPress with two-factor authentication

WordPress の 2 要素認証を設定する方法について詳しくは、こちらをご覧ください。

制限を無効にする方法

構成フィールドを空のままにするか、0 (ゼロ) を指定すると、制限機能はアクティブになりません。

ユーザーアクティビティを監視する方法

制限を設定したら、「アクティビティログ」ページで関連イベントを監視できます。設定に応じて、WP Cerberは以下のイベントを記録します。

• ログイン試行が拒否されました（同時ユーザーセッションの制限）。このイベントは、ユーザーが制限に達したため、それ以上のログイン試行が拒否されたことを意味します。
• ユーザーセッションが終了しました（同時ユーザーセッション数の制限）。このイベントは、ユーザーが制限に達し、WP Cerberによって最も古いユーザーのセッションが終了し、ユーザーが新しいセッションでウェブサイトにログインできるようになったことを意味します。
• 2要素認証が強制されました。このイベントは、同時ユーザーセッション数が上限を超えたことを意味し、新規ログイン時に2要素認証が開始されます。

結論

同時ユーザーセッションの数を制限すると、次のような利点があります。

• 放棄されたセッションによる個人データ漏洩のリスクを軽減
• 複数のコンピュータ間で資格情報を再利用することで、ユーザーアカウントが侵害されるリスクを軽減します。
• ユーザーが WordPress のユーザー名、パスワード、アカウントを共有することを阻止します。

同時に、この記事で説明する機能はすべて、ログイン試行回数制限機能とは一切関係がなく、その機能を置き換えるものでもありません。同時ユーザーセッション数を制限することは、WordPressをプロフェッショナルレベルのセキュリティで保護するための追加のセキュリティ対策です。