WordPressに不正にログインしようとした形跡があり困っています
解決したいこと
ワードプレスの管理画面へ不正アクセスを試みて失敗している記録が残っています。
ログイン可能かどうかを試されたくないので、ログイン画面に入られないようにしたいです。
発生している問題
デフォルトのログインアドレス「wp-login.php」ではなく適当な文字列にしています。
(適当な文字列のアドレスの例 https://XXXXX.com/asgLdk5dSfFg)
それでもログインページのアドレスがバレてしまっているのか、
セキュリティのプラグインの記録で不正アクセスを試みて失敗している記録が残っています。
原因はわかりますか?
また他にやったことが良い事や対策方法があれば教えてください。
様々なIPからアクセスしようとした形跡がありますが、
特に多いのが「googleusercontent.com」です。
海外の方もアクセスする想定のサイトなので、
外国からのアクセス遮断みたいな対応は出来無さそうです。
自分で試したこと
使用しているプラグインは「All In One WP Security」です。
以下の設定もプラグインを使用しています。
●左メニュー「ファイアウォール」の「Basic firewall」を有効にしています。
●ディレクトリとファイルの一覧表示を無効化しています。
●ログインページのアドレスを変更しています
●5分間で数回ログイン失敗すると暫くブロックする設定にしています。
●「admin」などの単語を含むIDでログインしようとすると即ブロックする設定にしています。
●「wp-admin」にアクセスしてもエラーが出る設定にしてあります。
●念のため複数ログインに失敗しているIPはブラックリストに入れていますがキリが無さそうです。
●60分経つと強制的にログアウトします。
気になる設定に「Cookie based brute force login prevention」というものがありますが、
説明を読んでも難しく、問題が発生するのが怖くて触れていません。
他に設定したほうが良い項目があれば教えて頂けると助かります。
サーバーはエックスサーバーを使用しています。
エックスサーバーのサーバーパネルメニューにある
「WordPressセキュリティ設定」は全てONにしてあります。
念の為ONにしてある設定を表記しておきます。
●ダッシュボード アクセス制限
●XML-RPC API アクセス制限
●REST API アクセス制限
●wlwmanifest.xml アクセス制限
アカウントのパスワードは10桁以上で複雑なものにしている為
破られることはそうそう無いと思いますが、
使用者にはパスワードはこまめに変更するよう指導しています。
ワードプレスを使用したサイトの作成が3度目で、
ここまで不正アクセスをしようとした痕跡の出るサイトは今回が初めての為
これ以上どう対処すれば良いのかわかりません。
よろしくお願いします。