WordPressを自分で管理している方、サーバー攻撃はいつもあると思ってください。
ブルートフォース攻撃、リスト攻撃等の、不正にログインを試みる攻撃が、またにわかに多くなっているように感じています。インサイトは1年間で10万回程度、頻繁にやって来ています。
万一、やられたら「ちょ〜、面倒くさいです」「なまら嫌になるわ〜」3年くらい前に一台のレンタルサーバーで攻撃にやられてしまって、3日くらい掛かってやっと解除したという苦い思い出があります。
その時は、テストサイトをWordPressで作っており、そのまま放置していたサイトが原因のもとでした。これがいけない!
これは、よくいわれることなのですが、IDをadminにしてはいけないということを聞いたことがあると思います。私も当然、違うIDにはしていたのですが、予想がしやすいIDだったことがやられた原因だといえます。
同じ場所に、数サイトを入れていたのでそこから違うサイトにまで、仕込まれる始末でした。発覚はサーバー会社からの連絡とSearchConsoleからの連絡で発覚しました。
本来の仕事をそっちのけで、1つひとつのサイトのファイルを確認しながら削除すること丸3日を要してやっと完了しました。普段使っていると大丈夫だろうと思ってしまうかもしれませんが、やられてからではもうその苦労はしたくないと思います。
不正にログインを試みる攻撃で最低限やっておくこと
IDはadminは絶対にそのままでは利用しないこと、どんなにPassを複雑にしていても、破られる時はその壁がいくつもある方がよいという理由です。
最初の画像をみていただいたと思います。adminは頻繁にアタックされています。なので、IDは変更しておきましょう。それから、URLに関連することを使うことも避けておいた方がよいでしょう。
たとえば、私の場合であればmutomasatakaなどは予測しやすくなります。
まずはIDから予想しづらいことをIDに設定しましょう。そして、PassはWordPressが吐き出す、Passは強力なワードなのでこれを使う方法が安心かと思います。
99*99#ABC&xyz(99^eFg) など記号や大文字英字、小文字英字をふんだんに入れておきましょう。
攻撃にあってからでは、ひどい目にあっちゃいますから十分セキュリティは考えて行なってください。