WordPressで同時ユーザーセッションの数を制限する方法

English version: How to limit the number of concurrent user sessions in WordPress

デフォルトでは、WordPressには、ユーザーが作成できる同時セッションの数に適用される制限はありません。これにより、ユーザーのセキュリティが損なわれ、個人データが漏洩するリスクが生じる可能性があります。

WP Cerberのプロフェッショナルバージョンでは、ユーザーが開くことができる同時ユーザーセッションの数に制限を設定することにより、ユーザーアカウントのセキュリティを強化できます。各ユーザーロールの制限を個別に構成できます。

同時ユーザーセッション制限を構成する方法

1. ユーザーポリシーの構成ページに移動します
2. 制限を構成する役割を選択します
3. [許可される同時ユーザーセッションの数]設定フィールドで目的の数を指定します
4. 同時ユーザーセッションの制限に達したときの目的のポリシーを設定します

Configuring the limits to the number of concurrent user sessions in WordPress

二要素認証で同時ユーザーセッションを制限する方法

1. ユーザーポリシーの構成ページに移動します
2. 制限を構成する役割を選択します
3. 二要素認証の場合は、「詳細モード」を選択します
4. [同時ユーザーセッションの数が多い場合]設定フィールドで目的の数を指定します。この数は、許可された同時ユーザーセッションの数で指定された数よりも小さくする必要があります。アクティブなユーザーセッションの数は、新しいユーザーセッションを含めて計算されます。したがって、1を指定した場合、2回目以降のログイン試行では、ユーザーが2FA検証プロセスを完了する必要があります。

Configuring the limits to the number of concurrent user sessions in WordPress with two-factor authentication

WordPressの2要素認証を構成する方法の詳細をご覧ください。

制限を無効にする方法

構成フィールドを空のままにするか、0（ゼロ）を指定すると、制限機能はアクティブになりません。

ユーザーアクティビティを監視する方法

制限を設定すると、アクティビティログページで関連するイベントを監視できます。設定に応じて、WPCerberは次のイベントをログに記録します。

• ログインの試行が拒否されました（同時ユーザーセッションの制限）。このイベントは、ユーザーが制限に達し、それ以上のログイン試行が拒否されたことを意味します。
• ユーザーセッションが終了しました（同時ユーザーセッションの制限）。このイベントは、ユーザーが制限に達し、最も古いユーザーのセッションがWP Cerberによって終了され、ユーザーが新しいセッションでWebサイトにログインできるようになったことを意味します。
• 2要素認証が実施されました。このイベントは、同時ユーザーセッションの数が制限を超えたことを意味し、新しいログインに対して2FAを開始します。

結論

同時ユーザーセッションの数を制限すると、次の利点があります。

• 放棄されたセッションによる個人データ漏洩のリスクの軽減
• 複数のコンピューター間で資格情報を再利用することにより、ユーザーアカウントを危険にさらすリスクを軽減します
• ユーザーがWordPressのユーザー名、パスワード、アカウントを共有できないようにします。

同時に、この記事で説明されているすべての機能は、ログイン試行の制限機能とは関係がなく、これに置き換わるものではありません。同時ユーザーセッションの数を制限することは、WordPressのプロフェッショナルグレードの防御を可能にする追加のセキュリティ対策です。