Главная  >  Как установить ограничение на число одновременных авторизаций в WordPress

Как установить ограничение на число одновременных авторизаций в WordPress

|

В современных проектах на WordPress иногда требуется ограничить число одновременных сессий для одного пользователя. Это может быть полезно для повышения безопасности, предотвращения передачи учетных данных или контроля доступа в корпоративных и образовательных системах. В этой статье рассмотрим, как реализовать ограничение на количество одновременных авторизаций пользователя в WordPress, какие плагины можно использовать и как сделать это самостоятельно с помощью кода.

Почему важно ограничивать количество одновременных сессий в WordPress

По умолчанию WordPress не ограничивает число сессий пользователя. Это значит, что один аккаунт может быть авторизован одновременно на нескольких устройствах и браузерах. Иногда это удобно, но в ряде случаев становится уязвимостью:

  • Если пароль пользователя скомпрометирован, злоумышленник может использовать аккаунт одновременно с легитимным владельцем.
  • В корпоративных системах хочется, чтобы один пользователь мог работать только с одного рабочего места.
  • В образовательных проектах – чтобы не передавали доступы.

Поэтому настройка лимита одновременных сессий помогает повысить безопасность и контроль.

Обзор плагинов для ограничения одновременных сессий

Для тех, кто не хочет писать код, есть готовые решения:

1. Limit Login Attempts Reloaded

Этот плагин предназначен для ограничения попыток входа, но в связке с дополнительными плагинами или настройками позволяет ограничивать сессии.

2. WP Limit Login Attempts

Похож на предыдущий, фокусируется на безопасности авторизации, но не ограничивает сессии напрямую.

3. Session Manager или Custom Session Plugins

Некоторые плагины для управления сессиями позволяют ограничивать число одновременных сессий для пользователей, но их нужно искать и тестировать отдельно.

Если хотите простой и надежный способ, стоит рассмотреть написание кастомного решения.

Как написать собственное ограничение на число одновременных сессий в WordPress

Начнем с того, что WordPress хранит сессии пользователей в базе данных в таблице wp_usermeta с ключом session_tokens. По умолчанию WordPress не ограничивает число сессий, но мы можем мониторить и удалять лишние.

Пример функции, которая позволит сохранять только последние N сессий пользователя. Если количество сессий превысит лимит, самые старые будут удалены.

function wpfix_limit_user_sessions($user_id, $max_sessions = 3) {
    if (!$user_id) return;
    
    $sessions = WP_Session_Tokens::get_instance($user_id);
    $all_sessions = $sessions->get_all();

    $session_keys = array_keys($all_sessions);
    if (count($session_keys) > $max_sessions) {
        // Сортируем сессии по времени, чтобы удалить старые
        uasort($all_sessions, function($a, $b) {
            return $a['login'] < $b['login'] ? -1 : 1;
        });
        $sessions_to_remove = array_slice(array_keys($all_sessions), 0, count($all_sessions) - $max_sessions);
        foreach ($sessions_to_remove as $session_key) {
            $sessions->destroy($session_key);
        }
    }
}

// Хук, который срабатывает после успешной авторизации
add_action('wp_login', function($user_login, $user) {
    wpfix_limit_user_sessions($user->ID, 2); // Ограничиваем 2 сессиями
}, 10, 2);

В этом коде мы используем встроенный класс WP_Session_Tokens, который отвечает за управление сессиями пользователя. При каждом входе пользователя проверяем количество активных сессий, и если оно больше лимита, удаляем самые старые.

Пояснения по коду

  • Функция wpfix_limit_user_sessions принимает ID пользователя и максимальное количество сессий.
  • Получаем все сессии пользователя через WP_Session_Tokens::get_instance($user_id)->get_all().
  • Если сессий больше, чем разрешено, сортируем их по времени входа и удаляем старые.
  • Хук wp_login срабатывает при каждой авторизации, вызывая нашу функцию.

Дополнительные советы по безопасности сессий в WordPress

Ограничение числа сессий – это только часть комплексной безопасности. Рекомендуется выполнить и другие меры:

  • Использовать SSL (HTTPS) для защиты данных авторизации.
  • Регулярно менять пароли и использовать сложные комбинации.
  • Внедрять двухфакторную аутентификацию (2FA).
  • Проверять и завершать сессии в админке, например, через плагин Clearfy Pro, который улучшает безопасность и оптимизацию.

Как использовать плагин Clearfy Pro для управления сессиями

Clearfy Pro – многофункциональный плагин оптимизации и безопасности WordPress. В нем есть опции для управления сессиями и авторизацией:

  • Автоматическое завершение неактивных сессий.
  • Ограничение числа одновременных сессий на пользователя.
  • Повышение защиты от брутфорс-атак.

Подробнее про Clearfy Pro на официальном сайте: https://wpshop.ru/clearfy-pro/

Итоги и рекомендации

Ограничение количества одновременных сессий в WordPress – полезный инструмент для повышения безопасности и контроля доступа. Для большинства проектов подойдет простой кастомный код на основе WP_Session_Tokens, который можно доработать под свои нужды. Если нужен более комплексный подход и дополнительные опции, стоит рассмотреть плагины, например, Clearfy Pro.

Не забывайте всегда тестировать внесённые изменения на тестовом сайте и делать резервные копии перед изменениями в продакшене.

Как использовать REST API в WordPress для автоматизации задач
30.11.2025
Как настроить автозаполнение форм в WordPress с помощью AJAX
04.02.2026
Как использовать хуки WordPress для отложенного выполнения кода
16.01.2026
Как использовать WPCommunity для создания внутреннего форума на WordPress
23.01.2026
Как избежать проблем с использованием AJAX в WordPress
12.12.2025

Последние статьи