WordPress で同時ユーザーセッション数を制限する方法

English version: How to limit the number of concurrent user sessions in WordPress

デフォルトでは、WordPress には、ユーザーが作成できる同時セッションの数に適用される制限はありません。これにより、ユーザーのセキュリティが侵害され、個人データが漏えいするリスクが生じる可能性があります。

WP Cerber のプロフェッショナル バージョンでは、ユーザーが同時に開くことができるユーザー セッション数の制限を構成することで、ユーザー アカウントのセキュリティを強化できます。各ユーザー ロールの制限を個別に構成できます。

同時ユーザー セッションの制限を構成する方法

1. ユーザー ポリシーの設定ページに移動します。
2. 制限を構成するロールを選択します
3. [許可された同時ユーザー セッション数]設定フィールドに目的の数を指定します。
4. 同時ユーザー セッションの制限に達したときの目的のポリシーを設定します。

Configuring the limits to the number of concurrent user sessions in WordPress

二要素認証で同時ユーザーセッションを制限する方法

1. ユーザー ポリシーの設定ページに移動します。
2. 制限を構成するロールを選択します
3. 2 要素認証の場合は、[詳細モード] を選択します
4. [同時ユーザー セッション数が多い場合] 設定フィールドで目的の数を指定します。この数は、許可された同時ユーザー セッションの数で指定された数よりも小さくする必要があります。アクティブなユーザー セッションの数は、新しいユーザー セッションを含めて計算されます。したがって、1 を指定すると、2 回目以降のすべてのログイン試行で、ユーザーは 2FA 検証プロセスを完了する必要があります。

Configuring the limits to the number of concurrent user sessions in WordPress with two-factor authentication

WordPress の 2 要素認証を構成する方法について詳しくは、こちらをご覧ください。

制限を無効にする方法

構成フィールドを空のままにするか、0 (ゼロ) を指定すると、制限機能はアクティブになりません。

ユーザー アクティビティを監視する方法

制限を構成したら、[アクティビティ ログ] ページで関連するイベントを監視できます。設定に応じて、WP Cerber は次のイベントをログに記録します。

• ログインの試行が拒否されました (同時ユーザー セッションの制限)。このイベントは、ユーザーが制限に達したことを意味し、それ以降のログイン試行は拒否されます。
• ユーザー セッションが終了しました (同時ユーザー セッションの制限)。このイベントは、ユーザーが制限に達し、最も古いユーザーのセッションが WP Cerber によって終了され、ユーザーが新しいセッションで Web サイトにログインできるようになったことを意味します。
• 2 要素認証が適用されます。このイベントは、同時ユーザー セッションの数が制限を超えたことを意味し、新しいログインに対して 2FA が開始されます。

結論

同時ユーザー セッションの数を制限すると、次の利点があります。

• 放棄されたセッションによる個人データ漏洩のリスクを軽減する
• 複数のコンピューターで資格情報を再利用することにより、ユーザー アカウントが危険にさらされるリスクを軽減する
• ユーザーが WordPress のユーザー名、パスワード、アカウントを共有できないようにします。

同時に、この記事で説明されているすべての機能は、ログイン試行制限機能とは何の関係もありません。同時ユーザー セッションの数を制限することは、WordPress のプロフェッショナル グレードの防御を可能にする追加のセキュリティ対策です。