サイトロックアウト通知アラートメール

All In One WP Securityプラグインを導入していると、不正なログイン試行を検知した場合、ガードが機能し、サイトロックアウト通知がメールで飛んでくる。

忘れた頃にポツポツ、、ならそこまで気にならないが、2023年、年明けくらいから連発するようになり、管理画面のプラグイン設定内の失敗したログインレコードを参照すると、大半が自身のユーザ名で頻繁に試行されているのが確認できた。

ここまでをまとめると

• ログインの入口がバレている
• ログインユーザ名がバレている
• パスワードのみセーフ

という事になるので1つずつチェック。

ログインの入口がバレている（未解決）

一般的なWordPressのログインURLは
https://ドメイン名/wp-login.php
https://ドメイン名/wp-admin
といった感じに初期設定されていると思う。

ただ私はプラグインでログインURLを変更している。

こちらは引き続き要検証だが、ログインのプログラムに直接アクセスされたりすると、どうしようもないそうだ。

ログインユーザ名がバレている

これは単純に
https://ドメイン名/?author=1
で調べられるそうで、誰でも簡単に目星を付けることができる。

なのでこちらは
Edit Author Slug というプラグインで対応した。
有効化するだけで、「投稿者スラッグ編集」という項目がユーザープロフィールに追加されるので、こちらのカスタム設定などで好きに設定してやることで、身バレ？しにくくなった。

パスワードのみセーフ

これは定期的に変えるしかない。