ログイン/管理ページをホームページにリダイレクトする必要がありますか？

ブルートフォースではない

1日あたり50件のリクエストは総当たりではありません。パスワードの要件が2文字だけの場合を除きます。ほとんどの場合、これらのヒットは、特定の資格情報を確認してから次のインターネットスキャナーに移動するだけです。

ブルートフォースログイン

Captchaを追加することを検討してください。さらに、何らかの形の2要素認証を追加することを検討してください。 Google Authenticator、Duo Securityなど、利用可能な2つの要素オプションが多数あります。環境に最適なオプションを見つけて設定してください。

404 vs 301

RFC標準に準拠します。ページが存在しない場合は404を返し、アプリケーションの所有者が特定のリクエストを特定のページにリダイレクトする場合は、301を使用します。インターネットスキャナーとボットは、既に侵害されていない限り、実際には脅威ではありませんが、断固とした敵は、提案されている難読化手法にだまされません。これは次のポイントに私を導きます...

WordPressの保護

OWASP WordPress_ Security Implementation Guideline の長さから明らかなように、WordPressには大きな攻撃対象領域があります。あなたの時間は、その文書を通して作業することに費やされるでしょう。

3つのことを使用して、サイトをスパムから安全に保ちます-

Captchaを追加し、Wpサイトの設定から誰でも登録できるオプションのチェックを外します。 （サイトにユーザーアカウントの機能がない場合）このプラグインを使用してログインページを非表示にします- https://wordpress.org/plugins/wps-hide-login/

また、サイトのユーザー名が管理者である場合、管理者は非常に一般的な用語であり、スパムの通行人や心に襲われるため、別のユーザー名に変更します...

数年前に記事を執筆しましたが、特に「強力で複雑なパスワードの作成」に関するセクションを読む価値があります

WordPressでブルートフォース攻撃を阻止する10の方法

多くのWPプラグインはトラックでブルートフォースハッカーを阻止しますが、ほとんどのプラグインはX試行後にIPアドレスの禁止に取り組んでおり、数千の複数のIPブロックを使用したパスワードクラッカーを阻止できません。

ほとんどのプラグインは、X分後に禁止を解除します。つまり、十分なIPアドレスを使用すると、これらの禁止に非常に長い期間使用することを選択しない限り、これらの禁止の影響を受けなくなります。通常、管理者は自分自身をロックアウトしたくないため、長期間の禁止を使用しません。

現在の答えの多くは複雑すぎます

通常、fail2banまたはwp-login.phpを非表示にすることをお勧めしますが、50回の攻撃は何もありません！適切なパスワードがあれば、何十年もかかります。個人的には、物事をシンプルに保ち、インストールするだけです... Loginizer for WordPress。

数百万のサイトで使用されており、インストールすることにより、IPアドレスごとに数時間、1日、数週間、数ヶ月、さらには数年間、悪意のあるユーザーを自動的に禁止します。また、ブロックされた攻撃の数も表示されます。