WordPressのセキュリティ対策 自動ログアウト時間を設定しよう

WordPressのセキュリティを高める施策のひとつに、自動ログアウト時間を設けるというものがあります。

例えば、不特定多数の人が利用するPCでログインすると、WordPressの場合は一定日数経過するまでログイン状態が続きます。

このため、ブラウザの閲覧履歴からWordPress管理画面にアクセスされてしまうと、普通にログインできてしまうのです。

また自分のPCであっても、しばらく席を外した際に、第三者に勝手に操作されてしまうというリスクも考えられますよね。

今日はそういったセキュリティリスクを回避するための手段として、「自動ログアウト時間の設定」を行なってみたいと思います。

WordPressにおける2つの自動ログアウト方法
1. ログイン後、一定期間経過でログアウトさせる
2. ログイン時に、一定時間操作がない場合にログアウトさせる
自動ログアウト設定まとめ

WordPressにおける2つの自動ログアウト方法

自動ログアウトには、２つの種類があります。

・ログイン後、一定期間経過でログアウトさせる
・ログイン時に、一定時間操作がない場合にログアウトさせる

それぞれ詳しく見てみましょう。

ログイン後、一定期間経過でログアウトさせる

ログインした後、別のサイトを閲覧したりしても、WordPressは一定期間の間はログイン状態を維持します。このためログイン操作なしに管理画面に入ることができるのですが、これを指定の時間でログアウトさせる方法です。

※今回はWordPressの管理画面から、管理者権限を使って操作を行う方法をご紹介します。
管理者権限がない、またはお付き合いのある制作会社がある場合には、そちらにご依頼した方がスムーズです。
（プラソルのお客様も、ご自身で編集されないようにご注意ください。弊社のローカルにあるファイルと差分が生じるため、更新が入った際に上書きして消してしまう可能性があります）

1.管理画面から、functions.phpを開く

WordPressの管理画面にログインし、外観>テーマの編集から、functions.phpを開いてください。

2.バックアップを取る

まずはバックアップを取りましょう。
functions.phpの記述をCtrl+Aで全選択し、Ctrl+Cでコピー、メモ帳などにCtrl+Vで貼り付けて、わかりやすい場所に保存しておいてください。

3.functions.phpへの記述を追加する

次に、functions.phpの最下部に次のように記述して保存します。

// 一定期間経過で自動ログアウト
add_filter( 'auth_cookie_expiration', 'stay_logged_in' );
function stay_logged_in( $expire ) {
 return 86400; // 60秒 * 60分 * 24時間＝1日
}

このケースは1日でログアウトするように設定していますが、「86400」の箇所を変更することで、自由に時間を設定することができます。

これで、一定期間経過すると自動的にログアウトするようになりました。

ログイン時に、一定時間操作がない場合にログアウトさせる

こちらも、流れは「一定期間経過でログアウトさせる」と一緒です。
1.functions.phpを開き、2.バックアップを取ったあと、functions.php最下部に下記のように記述してください。

//一定時間操作がない場合に自動ログアウト
add_action( ‘admin_init’, ‘mytheme_admin_init’ );
function mytheme_admin_init() {
add_filter( ‘auth_cookie_expiration’, ‘mytheme_auth_cookie_expiration’, 10, 3 );
$user = wp_get_current_user();
wp_set_auth_cookie( $user->ID, true );
}
function mytheme_auth_cookie_expiration( $expiration, $user_id, $remember ) {
if ( $remember ) $expiration = 3600; // 60秒 * 60分 ＝1時間
return $expiration;
}