Domyślnie użytkownik WordPress może logować się na konto z wielu lokalizacji jednocześnie. Może to zagrozić bezpieczeństwu Twojej witryny WordPress z wieloma autorami i z pewnością zaszkodzić Twoim zyskom, jeśli prowadzisz witrynę członkowską. W tym artykule pokażemy Ci, jak uniemożliwić użytkownikom udostępnianie haseł w WordPress, blokując jednoczesne logowania.
Jak WordPress zarządza sesjami użytkowników?
Zanim przejdziemy dalej, porozmawiajmy trochę o tym, jak WordPress obsługuje sesje użytkowników. Podobnie jak wiele innych aplikacji internetowych, WordPress używa plików cookie do identyfikacji zalogowanego użytkownika. Te pliki cookie nie zawierają Twojego hasła, tylko Twoją nazwę użytkownika i specjalny klucz jako dowód, że znałeś hasło.
Teraz, jeśli uzyskujesz dostęp do swojej witryny z publicznego miejsca i nawykowo zaznaczyłeś przycisk „Zapamiętaj mnie”, to każdy z tego komputera może zalogować się do Twojej witryny, ponieważ WordPress pozwala na zalogowanie tej samej nazwy użytkownika z dwóch różnych lokalizacji.
To jest trochę kłopotliwe dla bezpieczeństwa, ale może być również złe dla biznesu, jeśli prowadzisz stronę członkowską sprzedającą treści premium.
Użytkownicy mogą po prostu udostępniać swoje hasło znajomym i używać tych samych danych logowania do korzystania z Twoich płatnych treści.
Czy nie byłoby miło, gdybyś mógł uniemożliwić użytkownikom pozostawanie zalogowanym na tym samym koncie z wielu miejsc?
Ostatnio, gdy użytkownik zadał nam to pytanie, rozejrzeliśmy się i znaleźliśmy wtyczkę, która zapobiega jednoczesnym logowaniom.
Zapobieganie jednoczesnym logowaniom i udostępnianiu haseł w WordPress
Samouczek wideo
Jeśli nie podobał Ci się film lub potrzebujesz więcej instrukcji, czytaj dalej.
Pierwszą rzeczą, którą musisz zrobić, jest zainstalowanie i aktywowanie wtyczki Prevent Concurrent Logins. Działa ona od razu i nie ma żadnych ustawień do skonfigurowania.
Możesz przetestować wtyczkę w akcji, logując się do swojej witryny WordPress z dwóch różnych przeglądarek na komputerze lub korzystając z trybu prywatnego / incognito.
Kiedy próbujesz zalogować się na swoją stronę z tą samą nazwą użytkownika i hasłem w drugiej przeglądarce, będziesz mógł pomyślnie się zalogować. Jednak wtyczka zakończy starą sesję, a kliknięcie dowolnego linku w poprzednim oknie przeglądarki przeniesie Cię na stronę logowania.
To wszystko. Mamy nadzieję, że ten artykuł pomógł Ci dowiedzieć się, jak uniemożliwić użytkownikom udostępnianie haseł w WordPress, blokując jednoczesne logowania. Możesz również zapoznać się z naszym przewodnikiem, jak monitorować aktywność użytkowników w WordPress za pomocą Simple History.
Również tylko przyjazne przypomnienie: hasła mogą zostać zhakowane. Jeśli chcesz tego uniknąć, musisz używać silnych haseł na swojej stronie WordPress. Możesz również chcieć wymusić silne hasła dla wszystkich użytkowników na swojej stronie WordPress.
Jeśli podobał Ci się ten artykuł, zasubskrybuj nasz kanał YouTube z samouczkami wideo dotyczącymi WordPressa. Możesz nas również znaleźć na Twitterze i Google+.
Dwayne
Chcę zezwolić na udostępnianie danych uwierzytelniających użytkownika, ale chcę określić, ile sesji jest dozwolonych. Chcę więc udzielić dostępu do zasobów, tworząc jedno konto i określając, że dozwolonych jest tylko 20 aktywnych sesji. Jeśli przyjdzie 21. sesja, dostęp zostanie odmówiony. Czy jest coś, co na to pozwala?
Mike
To naprawdę nie zapobiega udostępnianiu przez kogoś nazwy użytkownika i hasła innej osobie. Zapobiega jedynie jednoczesnemu logowaniu się.
Toon van der Struijk
Przetestowałem wtyczkę „Zapobieganie jednoczesnemu logowaniu”, ale mam wątpliwości co do jej faktycznego użycia.
Najbardziej przeszkadza mi to, że każda nowa sesja jest honorowana kosztem starej (istniejącej) sesji.
Oznacza to, że użytkownik, który jest zalogowany, zostaje zablokowany, gdy tylko ktoś inny zaloguje się przy użyciu tych samych danych uwierzytelniających. Moim zdaniem nie jest to zbyt przyjazne dla użytkownika i w rzeczywistości powinno działać odwrotnie.
Gdy użytkownik (B) próbuje się zalogować, używając tych samych danych uwierzytelniających co użytkownik (A), który jest już zalogowany, użytkownik B powinien otrzymać ostrzeżenie, że zalogowanie się przy użyciu tych danych uwierzytelniających nie jest możliwe w tej chwili, ponieważ ktoś inny (użytkownik A) z nich korzysta.
Pozwala to użytkownikowi A pozostać zalogowanym.
Zespół WPBeginner
Tak, to też byłby dobry tytuł. Pomysł na post pochodził od użytkownika zaniepokojonego tym, że jego użytkownicy premium udostępniali hasła swoim znajomym. Jest to poważny problem dla wielu właścicieli witryn oferujących treści premium, pobieranie plików i witryny członkowskie. Mieliśmy nadzieję, że ten tytuł im pomoże.
Eric Mann
Artykuł początkowo trochę mnie zdezorientował. Pod hasłem „zapobieganie udostępnianiu haseł przez użytkowników” wyobrażałem sobie, że wyjaśniasz sposób na uniknięcie duplikatów haseł w bazie danych (co samo w sobie byłoby ogromną luką w zabezpieczeniach). Znowu się pogubiłem, gdy zacząłeś mówić o sesjach użytkowników, ale potem wszystko stało się jasne.
Być może lepszym tytułem byłoby „Jak uniemożliwić użytkownikom udostępnianie sesji logowania”? Jest to nieco bardziej trafne w stosunku do tego, o czym jest artykuł.
Daryl Griffiths
Dokładnie tego potrzebowałem dla mojej strony intranetowej, aby działała obok wtyczki „wylogowanie po bezczynności”.