Нужен совет по защите от брутфорс на WordPress

Это «чудо» интернет-тролль :) Почитайте его переписку в других топиках, чтобы стало все понятно.

Вам нужно решение без плагинов, но тем не менее посмотрите в сторону плагина clearfy-pro, который «прячет» страницу входа wp-login.php, и заменяет ее адрес на адрес вида AWOFJFJDKFJFKDJF.php

Файл htaccess, самое простое решение
 закрываем доступ wp-login,  xmlrpc ( если вы его не используете ), и папку  wp-admin полностью
разрешаем себе по IP

- Плиз скинь код для nginx
- Кому например?

И снова здарова... https://searchengines.guru/ru/forum/1035934#comment_16529317

Может хватит нести протухшие "знания"?

Это у тебя знания? нового поколения? Вердпрессовца. Ни знаний сервера, ни знаний базы
( поменять фото на сервере без изменения имен файлов, у тебя испортит базу, большего бреда не слышал )
все на уровне плагинов, иди изучай файловую систему, для начала.
VladimirSEO  правильно написал, программист WP😀

Это от ламерсва, неопытности и упоротости. Ты вот даже не осилил мои разжевывания ни про данные картинок в базе, ни про яакс. Самому же заглянуть в базу и на файлы - ни ума ни фантазии не хватает. Но нести "свет мудрости" из прошлого века - на это же ума много не надо.

А одноразовых пагинов он боится, хотя сам не знает почему :) Это диагноз.

Зачем мне твои разжевывания про данные картинок в базе, если ты понятия не имеешь, что изменение фото ( внесение водяного знака , без изменения имени файла, без изменения размеров) никакого отношения к базе не имеет

Зачем мне твои или чужие одноразовые плагины? Если можно все програмно задать на сервере
А, доступ к папке wp-admin (хоть по  ajax) кроме админа, никому делать там нечего
Ты малость попутал с папкой wp-includes. Но и эта папка у меня закрыта в nginx, ибо делать там нечего посторонним
( естественно с разрешением для твоего любимого Ajaх )

В школу изучать основы програмирования и этики.

да код довольно индивидуален чтоб его скидывать как есть.

надо под свои nginx конфиги делать.

главное примерно понять суть:

в разделе где nginx отдает статику (может ведь быть как-то по другому реализовано, например nginx отдает все, кроме .php) добавить подмешивание куки в заголовки:

location ~* \.(css)$
{
        add_header Set-Cookie "notbot=1;Path=/;Max-Age=31536000";
}

и также в конфиге каждого нужного виртуалхоста (ну или глобально, опять же кому как захочется) делаем проверку типа такой:

if ($block_post)
{
        return 403;
}

и дальше, еще выше на уровне http {} вставляем:

map "$remote_addr" $localip
{
        default 0;
        "ip сервера 1" 1;
        "ip сервера 2" 1;
}

map "$request_method:$localip:$cookie_notbot" $block_post
{
        default 0;
        "POST:0:" 1;
}

что переводится на человеческий как: сделать $block_post = true (чтоб потом там где надо выдало 403 ошибку) в случае если: метод запроса был POST, если ip того кто запрашивал не равен одному из ip сервера и если нет куки notbot

проверка локальных ip нужна т.к. тот же wordpress может делать запросы типа POST /wp-cron.php и чтоб их не отшивало на 403 Forbidden

кому выключается?

да к примеру интернет-магазин с какой-то windows програмулиной, которая должна делать какие-то свои POST запросы к сайту. правка наличия товаров или кто его знает что еще.

это редко, но бывает что необходимо. можно также вместо выключения просто добавить нужный ip в белый список.

ну и конечно можно модифицировать это все как вздумается под свои задачи.

Нда.. рано я начал радоваться что ты поумнел.. Как был 10 лет назад нубом, начитавшимся уже тогда устаревших ГСов, таким до сих пор и остался. :(

ЗЫ. "Программисты", не понимающие про яакс (даже дефолтный робостс, поди, не видел), отрицающие служебные плагины, записи в базе и тп, но при этом юзают жутьпаки - это.. печальное зрелище.