2021.05.02

【WordPress】【セキュリティ対策】ログインセッションに適切なタイムアウト値を設定しよう

こんにちは、webエンジニアのゾノ( @ozonosho )です。

前回の記事に続いて、今回もWordPressデフォルト設定のままだとセキュリティ上宜しくないポイントについて書きます。

今回はログインセッションのタイムアウト設定についてです。

世の中には、他人のセッションを盗んで本人に成りすますセッションハイジャック攻撃なるものが存在します。そして、セッションのタイムアウト値を適切に設定していないと攻撃成功のリスクが高まってしまいます。

そのため、「ログインしたまま放置しているユーザーを適切な時間経過後に自動ログアウトさせましょう」という話になります。

セキュリティ的な観点でいえば、管理者がログイン放置している状態が一番危ういため、自動ログアウトさせる対象には管理者である自分も含みます。

WordPressのデフォルトのセッション保持期間は『2日』です。
ログインフォームにある「ログイン状態を保持する」というチェックボックスをチェックすると『14日間』になります。

それにたいして、一般的なwebサイトのセッション保持期間は『30分』程度です。

・・・WordPressやばいですよねw

通常操作で30分以上必要になるページがある場合(たとえば記事作成など)は30分に合わせる必要はありませんが、それでも2日もログイン状態を保持する必要はないと思います。

そんなわけでセッション保持期間は自サイトの特性にあわせて適切な値に設定することが好ましいです。

WordPressのセッションタイムアウト設定変更は、funcitons.phpに下記のようなコードを入れることで実現できます。

※「//30分」と記載した行の末尾にある30の数値を変更すると時間を変更できます

おわりに

以上、今回の記事ではWordPressのセッションタイムアウト設定について紹介させていただきました。

当サイトではWordpressのカスタマイズ制作依頼を請け負っています。運営中のサイトで何かお困りのことがある方は、下記の記事を参照のうえ気軽にご相談ください。

どんな機能・要望でもOK!『Wordpressのカスタマイズ制作』はじめました。

こんにちは、webエンジニアのゾノ( @ozonosho )です。 このたびWordpressのカスタマイズ制作をはじめました。......

→この記事を読む
チャレンジを応援する無料オンラインコミュニティ運営中!

生きづらさを抱える人のチャレンジを応援する無料オンラインコミュニティ『Cree』をスタートしました。ただいま参加者100名突破!お互いの目標を共有したり、就労・就職のサポートするサービスを無料で提供しています。

オンラインコミュニティの詳細はこちら

ゾノについて

お仕事のご相談はこちら