偽のwp-loginページはwebapp攻撃の防止に役立ちますか？

ボットを阻止する効果的な方法ではありません。ボットはそのリンクを応答を提供するものとして登録します。最終結果が期待したものではないため、彼らは「あきらめ」ません。

偽のログインページを用意し、ログインを試みるIPをブロックする方が効果的です。

偽のログインページを追加すると、実際にはWebサイトがハニーポットになり、ボットが増え、サーバーの負荷が増加します。 StackExchangeがYouTubeにリダイレクトする理由がわかりません。たぶんそれは楽しみのためだけかもしれません（10時間trololol曲を含むランダムな10時間のビデオにリダイレクトするようです）。注目を集めたくない場合は、HTTP 404を返し、同時にIPも禁止する必要があります。 Esa Jokinenがコメントで指摘したように、サービス拒否につながる可能性のある問題を回避するために、IPを禁止する場合は注意が必要です。

ボットでは明らかに機能しませんが、ログを見ると、クエリを https://www.fbi.gov/investigate/cyber にリダイレクトすることで、退屈なスクリプトキディが効果的に阻止されていることがわかりました=

ボットの場合、多くのことは、適切なホストがあるかどうか、または独自のホスティング環境を制御できるかどうかによって異なります。繰り返しログインの失敗をブロックするApache ModSecurityルールがあります。これをConfigServerのlfdデーモンと組み合わせることができます。このデーモンは、ModSecurityログをスキャンして、犯罪者を繰り返すために長期ブロックを設定するように構成できます。

ログインすると、実際のページと同じように見え、実際のページと同じように見える偽の管理ダッシュボードにリダイレクトする偽の管理ログインページを作成しますが、すべての偽の管理ユーザーは、実際には何もしません。これはボットを混乱させる可能性があります。また、構成の変更については、URLを変更してactionというパラメーターを（偽の）アクションに設定する必要があることを忘れないでください。

あなたのウェブサイトはWordPressウェブサイトですか？）コメントに「いいえ」と答えました。

したがって、「WordPress」ログインページへのログイン成功の脅威はありません！

私があなたのケースで見ることができる唯一の脅威は、これらのボットが消費しているリソースです。偽の200 OKに対する/wp-login.php応答によって増加する可能性があり、最悪のシナリオは、これらのスキャンボットが継続することです別の脆弱性が見つかるまでドメインをスキャンします。

あなたのウェブサイトがWordPressウェブサイトではない場合、最善の解決策は、SOがYouTubeのような負荷を処理できる別のサーバーにリダイレクトすることによって行うことです。

または、より積極的になりたい場合は、私の非WordPress Webサイトで、/wp-login.phpのようなこれらのページを要求するIPを24時間ブロックします。私の小さなサイトをよく知っており、 /wp-login.phpへのリンクはなく、このページをリクエストする人は誰でもスキャンボットであると確信しているので、しばらくはブロックします。