Нужен совет по защите от брутфорс на WordPress

Если используется апач, то  рекомендую поставить доп. авторизацию типа

<FilesMatch (wp-login\.php|load-scripts\.php|load-styles\.php)>
AuthType Basic
AuthName "Adminzone"
AuthUserFile /var/www/user/data/etc/wp.htpasswd
Require valid-user
</FilesMatch>

Дополнительная авторизация стоит, в качестве защиты и минимальной нагрузки это было очень неплохо, но работает это только по http, по https нет. Большинство сайтов уже с SSL, поэтому этот способ уже малоэффективен.

С чего бы?

Ограничение по ip ставьте в htaccess - если динамический не пишите последние цифры

ставьте и для <Files wp-login.php> и для wp-admin - многих проблем избежите - не только брутофорса

<Files wp-login.php>

order deny,allow

deny from all

Allow from 1.1.1

</FilesMatch>

для wp-admin

<LIMIT GET>

order deny,allow

deny from all

Allow from 1.1.1

</LIMIT>

у моих подопечных (shared хостинг) по-умолчанию включается защита на уровне nginx, которая при всех POST запросах проверяет наличие одной куки, которая ранее ставится когда запрашиваются .css файлы.

боты ничего такого не запрашивают и соответственно получают лишь 403 ошибку когда POST'ят что-либо.

таким образом отлично отшиваются и брутфорсы и спам-посты. причем независимо от cms, будь то wordpress или что-угодно другое.

всегда суть одна и та же: что-то нехорошее делается обычно при POST'е, и боты обычно не качают контент сайта (.css).

но конечно изредка кому-то действительно нужны какие-то автоматические пост запросы, тем защита выключается.

работает так не первый год, wp сайтов сотни, их постоянно брутфорсят, но нагрузки никакой нет, взломов нет, одни плюсы :)

но появятся новые. Из  wp-admin вызываются скрипты на фронте. Что нужно защищать - я показал в первом ответе.

много лет использую на самых различных конфигурациях и проблем "со скриптами" не встречал - в любом случае  wp-login.php так защитить необходимо, что от брута (и от нагрузки им вызванного) как раз и спасет. 

Не много же ты имел дел с современными ВП-сайтами. Весь аякс через wp-admin/admin-ajax.php идёт. И это никак не пофиксят.

wp-login.php != wp-admin/

wp-login.php (и ещё 2 скрипта) - да. wp-admin - ни в коем случае!

1. Предпочитаю общаться с малознакомыми людьми на "Вы"  а  доступ в админку с защитой по ip мне рекомендовал разработчик популярного security плагина чтобы как раз просто снизить нагрузку от перебора паролей и не использовать плагины "комбайны" , и его компетенцию подвергать сомнению у меня не было, ибо совет оказался на редкость простым и эффективным.

2. Ну понятно же что имелся ввиду wp-login.php раз уж я привел 2 варианта готовых решений и первый с как раз с  <Files wp-login.php>

3. с admin-ajax.php лично у меня конфликтов не возникало (и хорошо что так)

4. TC - также неплохо таким образом защитить xmlrpc.php и wp-config

Предпочитай, кто тебе запрещает-то.

https://searchengines.guru/ru/forum/944268/page6#comment_14682615

Прикинь, я читать умею и именно на это я и отвечал:

Или скажешь,  это не ты писал?

А про  сказанное тобой про wp-login.php - претензий никаких не имею.