Mantenemos varios sitios web de WordPress que reciben intentos regulares de brutal forzando las credenciales de administrador. Parte de nuestro paquete de implementación estándar es instalar All in One WP Security and Firewall plugin. Parte de la funcionalidad de este complemento es la posibilidad de cambiar el nombre de la página de inicio de sesión de wp-admin a casi cualquier cosa.
Presumiblemente, esto quita la pantalla de inicio de sesión de los atacantes de fuerza bruta, ya que (en teoría) no saben qué es la nueva página de inicio de sesión. Continuamos viendo bloqueos de cuentas de fuerza bruta incluso después de haber cambiado el nombre de la página de inicio de sesión de wp-admin.
¿Cómo es posible que los atacantes sigan intentando iniciar sesión si la página de inicio de sesión ha cambiado?