Ponad 40% na świecie to WordPress, boty próbują się logować na wiele z nich, aby wykraść dane, wysyłać spam czy robić przekierowania na strony z nieprzyzwoitą treścią. Raczej nikt nie robi tego celowo bo chce się włamać własnie na Twoją stronę. WordPress jest używany również przez osoby, które są laikami w temacie, a więc jest jakieś prawdopodobieństwo, że strona jest niezaktualizowana, albo login i hasło to “admin123”. To co możesz zrobić to:
– wdrożyć uwierzytelnianie dwuskładnikowe na stronie np. wtyczką 2FA od Melapress,
– pilnować się z aktualizacjami wtyczek i motywów i robić je minimum raz w tygodniu, (plus śledzić podatności na ataki wtyczek, które masz i robić ich aktualizacje jak najszybciej),
– utworzyć bardzo silne hasło składające się z wielu znaków (minimum 20-25, w tym znaki takie jak ăæådž),
– nie podawać nikomu danych logowania do strony, a w razie potrzeby tworzyć takiej zaufanej osobie nowe konto i usuwać je zaraz po zakończeniu pracy,
– cyklicznie sprawdzać czy nie ma żadnych dziwnych użytkowników na stronie,
– NIE korzystać z żadnych wtyczek do “bezpieczeństwa” typu Wordfence,
można też wdrożyć dodatkowe zabezpieczenia na stronie według tych instrukcji: https://wpmagus.pl/pliki/prezentacje/wyczaruj-sobie-spokoj/#/
Jeśli chciałabyś zablokować te próby to chyba zostają dwie nieidealne metody:
– jeśli logowania następują z jednego IP można go zablokować (jeśli z wielu to to raczej nie ma sensu, bo można się tak bawić w nieskończoność)
– zablokować logowanie ze wszystkich innych IP poza Twoim, przy czym zapewne korzystasz z dynamicznego IP więc to też nie ma sensu