Uno de mis sitios de WordPress está siendo atacado constantemente con fuerza bruta. Tengo los plugins de WordFence y Clef instalados. El número de intentos de inicio de sesión se limita a uno solo. La contraseña es muy fuerte, el nombre de usuario no es un "administrador". Con el complemento Clef configurado, me pregunto cómo los atacantes pueden incluso acceder al inicio de sesión & formulario de contraseña? Pero de alguna manera sigo recibiendo notificaciones de WordFence sobre intentos bloqueados. ¿Hay alguna forma de prevenir estos ataques? ¿Son estas capas de seguridad suficientes?
Actualizar:
Aquí está el ejemplo de notificación de WordFence:
Se ha bloqueado a un usuario con la dirección IP {IP} desde el inicio de sesión o el uso del formulario de recuperación de contraseña por el siguiente motivo: se usó un nombre de usuario 'admin' no válido para intentar iniciar sesión.
IP del usuario: {IP}
Nombre de host del usuario: {nombre de host}
Ubicación del usuario: {país}
También, en los registros, puedo ver las solicitudes al archivo xmlrpc.php
.
Clef es un poco inútil, supongo, porque una vez que no inicies sesión con la aplicación, se mostrará el formulario de inicio de sesión normal.
¿Es posible bloquear el acceso a wp-login para todos, y mantenerlo accesible solo con algún tipo de token secreto como la función de anulación de Clef:
http://your-site-name.com/wp-login.php?override=fhfd87382rfjsh0