Известно же, что самый популярный способ открыть что-нибудь — подобрать ключ, пароль, код… Вот и сайты, на WordPress, в том числе, взламывают подбором логинов и паролей.
Хорошо, что поставил плагин, который блокирует на несколько минут после неправильного ввода пароля.
Только приходят на почту уведомления, что из Турции или Китая, например, кто-то несколько раз вводил неправильный пароль и был заблокирован на несколько минут.
В следующий раз вообще будет забанен.
Использую пару плагинов, которые отслеживают это, а также: меняют версию CMS, адрес страницы входа, ID полmpователя-админа и много еще чего. По слову «security» можно на официальном сайту «Вордпресс» или даже через поиск в админке («Установка плагинов») найти много полезных дополнений для безопасности сайта.
Кстати, один из лучших плагинов безопасности Better Security недавно поменял название на новое, iThemes Security.
Дополнение
Вот сейчас проверил – всё именно так и происходит, к сожалению. Выставил на продажу сайт об античных мифах, и сразу же началась атака. Понятно, что, если сайт продается, то он с большой вероятностью представляет какую-то ценность.
Сразу же заметил, что админка начала тормозить. И правда, на хостинге нагрузка на CPU подскочила до 92%.
Включил блокировку после двух неправильно набранных пар логин/пароль и – сразу же – на почту пришло письмо, что такой-то IP-адрес заблокирован после многократного введения неправильных данных для авторизации.
Конечно, это не сняло нагрузку на процессор, поэтому после этого поменял еще и адрес авторизации: со стандартного wp-login.php на другой. Нагрузка на хостинг прекратилась.