サポート » 使い方全般 » ログイン履歴のIPアドレスがすべて同じ

  • ログイン履歴に記録されるIPアドレスがすべて同じになってしまいます。

    ログイン履歴のキャプチャ 

    使用しているサーバにロードバランサが入っていて、記録されているIPアドレスはそのロードバランサのものです。

    記録だけではなく、ロックの判定にも使われているのでしょうか?

    • このトピックは6 ヶ月、 2 週間前に  Naoko Takano さんが編集しました。理由: 「使い方全般」に移動。
7件の返信を表示中 - 1 - 7件目 (全7件中)
  • 記録だけではなく、ロックの判定にも使われているのでしょうか?

    プラグインの FAQ に次のように書かれているので、使われているようです。

    https://www.jp-secure.com/siteguard_wp_plugin/faq/

    ログインを失敗していないのにロックされます。

    ログインロックは、接続元IPアドレスを元にロックを行っています。

    企業や学校等からのアクセスで、プロキシサーバを利用している場合、そのプロキシサーバを使っているユーザからのアクセスが、すべて同じ接続元IPアドレスになります。 プロキシサーバを使用している人のログインの失敗回数が指定回数を超えると、ログインロックが発生して、同じプロキシサーバを使用している人がログインできなくなります。

    このようなログインロックが多く発生する場合は、判定の期間を短くしたり、回数を多くしてみてください。

    • この返信は6 ヶ月、 3 週間前に  gblsm さんが編集しました。
    • この返信は6 ヶ月、 3 週間前に  gblsm さんが編集しました。
    • この返信は6 ヶ月、 3 週間前に  gblsm さんが編集しました。

    ありがとうございます。

    Throws SPAM Awayというプラグインでは、この対策がなされています。

    ・バージョン 2.8.2  2016/12/1  ロードバランサ経由のクライアントIP取得ができるように HTTP_X_FORWARDED_FOR を取得するようにしました。

    引用元: https://ja.wordpress.org/plugins/throws-spam-away/

    こうした対策はできないものでしょうか?

    • この返信は6 ヶ月、 3 週間前に   さんが編集しました。

    できることとしてはプラグイン作者 @jp-secure さんに要望を伝えるくらいでしょうか。このフォーラムを利用してくださいとのことなので、このトピックに気づいて頂けると良いですね。
    https://www.jp-secure.com/siteguard_wp_plugin/support/

    はい。サポートについてはそのように書かれていたので、読んでくださることを期待しています。

    k1dさん
    gblsmさん

    こんにちは。

    貴重なご意見、ありがとうございます。
    ご要望の件、承りました。
    将来のバージョンにて、検討させていただきます。

    期待しています。どうぞよろしくお願いします。

    ちなみにHTTP_X_FORWARDED_FORを無差別に許可するといくらでもIPが偽装できてしまう問題とログイン以外でもコメントや他プラグイン等のいずれものアクションで記録される可能性のあるIPアドレスを統一する手段としてサーバーミドルウェアのレイヤーでngx_http_realip_moduleやmod_realipのようなものを使っておく場合も見かけますね。
    (例えばAmimotoはこの方法を用いてELBやCloudFront経由のIPアドレスを差し替えてますね。)

7件の返信を表示中 - 1 - 7件目 (全7件中)
  • トピック「ログイン履歴のIPアドレスがすべて同じ」には新たに返信することはできません。