不正アクセスを何時制限する対策を施したかってところに行き着くんですが、一度不正アクセスを受ければ、以降のアクセスを予防できるぐらいに思うしか無いと考えています。
アドレス/login と入れればログインページが表示されるぐらいの対策だったら尚更です。
ユーザーIDを工夫しても、ソースコードを除けば推測が出来る。
オープンソースであるWordPressの致し方ないところですが、ファイル構造が把握されているのですから。
だからこそ、不正アクセス等セキュリティも重要な理由です。
大原則として、サイトを作るだけ作って放置していれば隙につけいられる、改ざんされていればわかりやすいのですが踏み台にされていることのほうが怖いですね。
パスワードの熱心な変更。サーバー内ファイルの変動を気をつけましょう。
wp-admin以下全てを特定IPアドレス以外アクセス禁止にすればいいのではないでしょうか。
ただ、wp-cronを弾いたりするので調整が必要かとは思います。
お二方とも、返信ありがとうございます。
とりあえず、wp-adminのアクセス禁止をしてみました。
プラグインの動作にも問題なさそうです。
これで、不正アクセスはしばらく様子見しようと思います。
その後の経過ですが、wp-adminをアクセス禁止にしても無意味でした。
不正アクセスの試みは相変わらずです。
海外のアドレスなので、そのプロバイダを丸ごと禁止にしても問題ないんですが、
また別の海外アドレスから来たら、
その都度設定するという対処療法しか無さそうですね。
/wp-adminに制限かけても鬱陶しいアクセスは続きます。
WordPresssの表の入口はwp-login.php、裏口はxmlrpc.phpです。
.htaccessでxmlrpc.phpへのアクセスを全て遮断すると平穏になりますが、JetPackやIFTTT、モバイルからの投稿アプリ等が使えなくなります。
すみません、言われてみればwp-cronもコメントもxmlrpcもwp-adminよりも上の階層でした。
サブディレクトリ運用でなければ、ファイル一つ一つに制限を掛ける必要がありそうですね。
失礼いたしました。
返信ありがとうございます。
生ログを見ると確かにxmlrpc.phpを使ってました。
JetPackはどうせアクセス解析くらいだし、使用できなくても構わないので、
.htaccessでxmlrpc.phpを遮断しました。
ついでにwp-cron.phpも遮断しました。
予約投稿できないと不便ですが、とりあえずの様子見です。
xmlrpc.phpの遮断で不正アクセスの試みは消えたようです。
生ログにも残ってません。
予約投稿については追々考慮します。
ありがとうございました。