WordPressにはログインユーザー数(セッション数)に上限はありません。
このため別端末、別回線から何人でも管理画面などにログインすることが可能ですが、これが望ましくない時があります。
特に自分のブログを1人で運営している場合は他の人にログインされればそれは不正アクセスという事になります。この記事ではプラグインを使用してログイン可能なユーザー数を1人に制限する方法をご紹介します。
Loggedinプラグインで1度にログインできるユーザーを1人に制限します。
この記事の目次
ログインユーザー数を制限するプラグイン「Loggedin」の使い方
WordPressは企業にも人気のCMSで、複数人が同時にログインして記事の執筆などを行ったりすることが出来ますが、個人ブログを1人でやっている方も多いです。
当サイトも僕1人でブログを運営しています。
そんな個人ブログにセキュリティ対策としてお勧めしたいのが、ログインユーザー数に上限を設ける方法です。
自分しかログインしないのであれば、複数人がログインできる機能は不要です。
今回ご紹介する「Loggedin - Limit Active Logins」というプラグインを使用すれば、アクティブログインユーザー数を1人に制限することが出来ます。
「Loggedin - Limit Active Logins」には以下のような特徴があります。
ココがおすすめ
- ログインユーザー数(セッション数)を制限できる。
- 制限数に達した場合、新規ログインをブロックする。
- 制限数に達した場合、新規ログインを待たせることも可能。
- 管理者がログイン中のユーザーを強制ログアウトできる。
- 難しい設定は一切なし。
簡単に言えば、ログイン中の状態にできるユーザー数を1人(複数可)にでき、もし自分がログインした時に、他のユーザーがログイン中になっていれば強制ログアウトさせることが出来るプラグインという感じです。
以前、当サイトでは見慣れないIPアドレスがログイン中とのログが確認できました。
結局サイトの改ざんなどは確認できず、以前のログインセッションが残っていただけかもしれませんが、不正ログインの疑いや、ログアウトし忘れてセッションが残ったままになっている時に有効なプラグインです。
では「Loggedin - Limit Active Logins」の使い方について詳しく見ていきましょう!
Loggedin - Limit Active Loginsのインストール
プラグインは執筆時最新バージョンであるWordPress6.0.1で動作確認済です。
プラグインの公式ページは以下です。
外部リンク
【Loggedin - Limit Active Logins】
Loggedin – Limit Active Logins – WordPress プラグイン | WordPress.org 日本語
プラグインのインストール
執筆時「Loggedin」はWordPressの管理画面からインストールできました。
管理画面左メニュー>プラグイン>新規追加
WordPressにログイン後、
管理画面左メニュー > プラグイン > 新規追加
に進み、プラグインの検索欄に「Loggedin - Limit Active Logins」と入力。
出てきたら今すぐインストールを押して有効化しましょう。
Loggedin - Limit Active Loginsの設定方法
プラグインを有効化したら早速「Loggedin」の設定に入りましょう。
プラグインの設定は「設定>一般」から行う
プラグインの設定画面は
管理画面左メニュー > 設定 > 一般
の中にあります。
一般の中の画面下部に「Loggedin」の設定項目が追加される
WordPressの「一般」の画面の下部にプラグインの設定項目が追加されています。
初見だとなかなか分かりにくいですが、ここが「Loggedin」の設定になります。
執筆時、設定項目は3つだけでした。これを詳しく見ていきます。
Loggedin - Limit Active Loginsのおすすめ設定
プラグインの設定は英語表記ですが、3項目だけなので難しくありません。
それぞれ翻訳をつけておきますが、必要ならブラウザの翻訳機能も使いましょう。
Maximum Active Logins
Maximum Active Loginsにはログイン可能なユーザー数(セッション数)の上限を設定します。初期設定値は3でした。3なら3人までのユーザーがログイン中という状態になれるということです。
1人でブログを運営している方は、自分しかログインしないはずです。
なので、この設定でログインユーザー数の上限を「1」にしておきましょう。
【説明文のGoogle翻訳】
最大数を設定します。 ユーザーアカウントが持つことができるアクティブなログインの数。
この制限に達すると、次のログイン要求は失敗し、ユーザーは続行するために1つのデバイスからログアウトする必要があります。
注:ブラウザを閉じても、ログインセッションが存在する場合があります。
説明にもありますが、このプラグインはログイン中にブラウザを閉じることにより、ログインセッションが残ったままになっている状態のユーザーもログアウトさせることが出来ます。
Login logic
Login logicの項目では、ログイン中のユーザーがいる状態の時に、別のユーザーからの新規ログインをどのように扱うかについての設定を行うことが出来ます。
「Allow」と「Block」が選択できます。それぞれの挙動は以下の通りです。
ログインユーザー数が先ほどの上限設定に達している場合の設定になります。
| 既にログイン中のユーザー | 新規ログインするユーザー | |
| Allow | ログアウトする | そのままログインできる |
| Block | ログアウトしない | 空きが出るまでログインできない |
設定は好みですが、自分1人しかログインしないならAllowがオススメです。
Allowにしておくと他のユーザーにログインされていたり、前回のログインセッションが残っている場合でも、自分がログインすることで全て強制ログアウトさせることができますので。
【説明文のGoogle翻訳】
Allow:制限に達したときに他のすべての古いセッションを終了することにより、新しいログインを許可します。
Block:制限に達した場合、新規ログインを許可しません。 ユーザーは、古いログインセッションの有効期限が切れるのを待つ必要があります。
Force Logout(強制ログアウト機能)について
こちらの項目はプラグインの設定というより、プラグインの機能です。
Force Logoutでは指定したIDのユーザーを強制ログアウトさせることができます。
ユーザーIDは「1,2,3...」という数字での指定になります。
WordPressでは、一番初めに作成したユーザーはIDが1、次に追加されたユーザーがID2という感じになっています。
【説明文のGoogle翻訳】
全てのデバイスからユーザーを強制的にログアウトする場合は、ユーザーIDを入力します。
ここで自分のユーザーIDを入力してみたところ...「Force Logout」ボタンを押すだけで、自動的にログアウトしてログイン画面に戻りました。
1人でブログを運営しているなら基本的に使うことはないはずです。
先述の「ログインユーザー数の上限1+Allow」という設定だけで、自分のログイン時に他ユーザーは強制的にログアウトさせることが出来ますので。
まとめ
以上、WordPressでログインユーザー数に上限を設定したり、自分以外のユーザーを強制的にログアウトすることが出来るプラグイン「Loggedin-Limit Active Logins」のご紹介でした。
このプラグインを使えば簡単に自分以外でログイン中になっているユーザーを強制的にログアウトさせることが出来ます。
今回は恐らく不正ログインではなく、何かしらの原因でログインセッションが残っている状態だと思われるのですが、当プラグインで邪魔なセッションを全てログアウトさせることが出来ました。
この手のプラグインはあまりお世話になることがないかもしれませんが、覚えておくといざという時に役立つかもしれません。
ではではこのへんで・w・
