ログイン履歴のIPアドレスがすべて同じ

k1d
(@k1d)

7年、 1ヶ月前
ログイン履歴に記録されるIPアドレスがすべて同じになってしまいます。

使用しているサーバにロードバランサが入っていて、記録されているIPアドレスはそのロードバランサのものです。

記録だけではなく、ロックの判定にも使われているのでしょうか？
- このトピックは7年、 1ヶ月前にNaoko Takanoが編集しました。理由: 「使い方全般」に移動。

7件の返信を表示中 - 1 - 7件目 (全7件中)

gblsm
(@gblsm)

7年、 1ヶ月前
記録だけではなく、ロックの判定にも使われているのでしょうか？

プラグインの FAQ に次のように書かれているので、使われているようです。

https://www.jp-secure.com/siteguard_wp_plugin/faq/

ログインを失敗していないのにロックされます。

ログインロックは、接続元IPアドレスを元にロックを行っています。

企業や学校等からのアクセスで、プロキシサーバを利用している場合、そのプロキシサーバを使っているユーザからのアクセスが、すべて同じ接続元IPアドレスになります。プロキシサーバを使用している人のログインの失敗回数が指定回数を超えると、ログインロックが発生して、同じプロキシサーバを使用している人がログインできなくなります。

このようなログインロックが多く発生する場合は、判定の期間を短くしたり、回数を多くしてみてください。
- この返信は7年、 1ヶ月前にgblsmが編集しました。
- この返信は7年、 1ヶ月前にgblsmが編集しました。
- この返信は7年、 1ヶ月前にgblsmが編集しました。
トピック投稿者 k1d
(@k1d)

7年、 1ヶ月前
ありがとうございます。

Throws SPAM Awayというプラグインでは、この対策がなされています。

・バージョン 2.8.2 　2016/12/1 　ロードバランサ経由のクライアントIP取得ができるように　HTTP_X_FORWARDED_FOR を取得するようにしました。

引用元: https://ja.wordpress.org/plugins/throws-spam-away/

こうした対策はできないものでしょうか？
- この返信は7年、 1ヶ月前にk1dが編集しました。
gblsm
(@gblsm)

7年、 1ヶ月前

できることとしてはプラグイン作者 @jp-secure さんに要望を伝えるくらいでしょうか。このフォーラムを利用してくださいとのことなので、このトピックに気づいて頂けると良いですね。
https://www.jp-secure.com/siteguard_wp_plugin/support/

トピック投稿者 k1d
(@k1d)

7年、 1ヶ月前

はい。サポートについてはそのように書かれていたので、読んでくださることを期待しています。

jp-secure
(@jp-secure)

7年、 1ヶ月前

k1dさん
gblsmさん

こんにちは。

貴重なご意見、ありがとうございます。
ご要望の件、承りました。
将来のバージョンにて、検討させていただきます。

トピック投稿者 k1d
(@k1d)

7年、 1ヶ月前

期待しています。どうぞよろしくお願いします。

Hinaloe
(@hnle)

7年、 1ヶ月前

ちなみにHTTP_X_FORWARDED_FORを無差別に許可するといくらでもIPが偽装できてしまう問題とログイン以外でもコメントや他プラグイン等のいずれものアクションで記録される可能性のあるIPアドレスを統一する手段としてサーバーミドルウェアのレイヤーでngx_http_realip_moduleやmod_realipのようなものを使っておく場合も見かけますね。
(例えばAmimotoはこの方法を用いてELBやCloudFront経由のIPアドレスを差し替えてますね。)