記録だけではなく、ロックの判定にも使われているのでしょうか?
プラグインの FAQ に次のように書かれているので、使われているようです。
https://www.jp-secure.com/siteguard_wp_plugin/faq/
ログインを失敗していないのにロックされます。
ログインロックは、接続元IPアドレスを元にロックを行っています。
企業や学校等からのアクセスで、プロキシサーバを利用している場合、そのプロキシサーバを使っているユーザからのアクセスが、すべて同じ接続元IPアドレスになります。 プロキシサーバを使用している人のログインの失敗回数が指定回数を超えると、ログインロックが発生して、同じプロキシサーバを使用している人がログインできなくなります。
このようなログインロックが多く発生する場合は、判定の期間を短くしたり、回数を多くしてみてください。
-
この返信は7年、 10ヶ月前に
gblsmが編集しました。
-
この返信は7年、 10ヶ月前に
gblsmが編集しました。
-
この返信は7年、 10ヶ月前に
gblsmが編集しました。
トピック投稿者
k1d
(@k1d)
ありがとうございます。
Throws SPAM Awayというプラグインでは、この対策がなされています。
・バージョン 2.8.2 2016/12/1 ロードバランサ経由のクライアントIP取得ができるように HTTP_X_FORWARDED_FOR を取得するようにしました。
引用元: https://ja.wordpress.org/plugins/throws-spam-away/
こうした対策はできないものでしょうか?
-
この返信は7年、 10ヶ月前に
k1dが編集しました。
できることとしてはプラグイン作者 @jp-secure さんに要望を伝えるくらいでしょうか。このフォーラムを利用してくださいとのことなので、このトピックに気づいて頂けると良いですね。
https://www.jp-secure.com/siteguard_wp_plugin/support/
トピック投稿者
k1d
(@k1d)
はい。サポートについてはそのように書かれていたので、読んでくださることを期待しています。
k1dさん
gblsmさん
こんにちは。
貴重なご意見、ありがとうございます。
ご要望の件、承りました。
将来のバージョンにて、検討させていただきます。
ちなみにHTTP_X_FORWARDED_FOR
を無差別に許可するといくらでもIPが偽装できてしまう問題とログイン以外でもコメントや他プラグイン等のいずれものアクションで記録される可能性のあるIPアドレスを統一する手段としてサーバーミドルウェアのレイヤーでngx_http_realip_moduleやmod_realipのようなものを使っておく場合も見かけますね。
(例えばAmimotoはこの方法を用いてELBやCloudFront経由のIPアドレスを差し替えてますね。)