Пытаются найти админку

Рубаните им по IP вообще доступ ко всему сайту через .htaccess

Order Allow,Deny
Allow from all
Deny from xxx.xxx.xxx.xxx
Deny from yyy.yyy.yyy.yyy

Да, либо .htaccess или сделать адрес админки такой, чтобы никогда не нащупали его.

да это у всех такое. смените адрес входа в админку на уникальный и не заморачивайтесь.

я одно время переадресовывал этих друзей в разные места, но... с того ни холодно ни жарко. а банить их - они сеня с одного айпи, завтра с другого, только этим и заниматься?

Это лишние. Пусть себе сканируют.

1. Держите актуальные версии плагинов тем и движка вордпрес, вовремя их обновляйте.

2. Не пользуйтесь ломаными темами и плагинами из неизвестных источников.

3. Не используйте пароли из словаря, а генерируйте рандомные в десять и более символов.

Если эти пункты будут выполнены, то пусть себе хоть засканят, ничего из этого не выйдет, а боты были всегда, которые сканируют и ищут общеизвестные и не очень уязвимости.

А вот если эти пункты не будут выполнены, то никакая защита и скрытие папок и файлов не поможет!

Если хотите потешить парною, то:

1. Для апача устанавливаете ModSecurity

2. В .htaccess разрешаете доступ к админке только со своего IP

3. Ставите какой нибудь из популярных плагинов секьюрити, большинство умеют прятать вордпрес и админку.

Блочить по IP не вариант. Как выше правильно подметили, сегодня они с одного IP, завтра с другого.

Ограничивать вход в админку только для своего IP не предоставляется возможным. Часто в командировках, коннекчусь откуда придется. Постоянно обновлять список доверенных IP не целесообразно.

Про изменение адреса админки думал. Но это лишние костыли, т.к. сайт работает на связке нескольких ЦМС, каждая из которых выполняет свои функции. Когда проект будет закончен окончательно, конечно же поменяю все пути, а пока хотелось бы хоть как-то обезопаситься, чтоб лишний раз не грузили сайт

Меня тоже раньше напрягали эти прощупывания. Но сейчас я использую вход в админку через поддомен и практически не пользуюсь популярными решениями, на которые и рассчитано прежде всего это прощупывание.

---------- Добавлено 20.04.2016 в 15:31 ----------

Иногда даже возникает желание посмотреть, что бывает, когда страница входа найдена. Брут? Ради интереса нужно подложить какой-нить фейк и посмотреть...

miketomlin, поделись мудростью, как через поддомен сделать вход ?

Поставьте хороший пароль, дополнительно можете изменить учётку администратора. Этих мер будет достаточно. Пусть щупают сколько хотят.

HotLab, с радостью, но это все специфично вплоть до того, что админка может быть полностью отделена от основного сайта, т.е. по сути представляет собой отдельный сайт. Хотя возможны варианты в том числе и для популярных решений, например блокировать по адресам админки все подряд по основному домену и не блокировать по поддомену-алиасу основного домена.

Dolph, да пароли длинные, больше 10 символов, так что брутить им и брутить. Словарем не подобрать точно, только последовательным перебором. На на это уйдут года, если только не заразят мой комп и не сольют пои пароли.

miketomlin, у меня проект, который интересует - это симбиоз движков: WP, phpBB и ModX. Соответственно 3 разные админки. Как их разносить - понятия не имею. Для ВП ести плагины, но как показала моя практика, чем больше плагинов установлено, тем больше сайт грузит хост ((( Поэтому для той админки стараюсь делать все без плагинов. А вот с phpBB и ModX еще не заморачивался, т.к. эти движки отвечают за отдельно взятые разделы сайта и в данный момент эти разделы только создаются и наполняются.

Я согласен на любые костыли, но желательно, чтобы клиент мог сам обновлять свои ЦМСки по актуальных версий и ничего не слетало. А то постоянно сравнивать файлы и вносить изменения в них это ад (((