GamletOrtikov, если запретить для всех IP, кроме своих, то как-то так:
<Location ~ "/(wp-login\.php|administrator|admin\.php)"> Order deny,allow Deny from all Allow from 11.22.33.44 </Location>
htaccess дополняют основной конфиг (httpd.conf), пропиши в него глобально правила для location какие надо
Свой, но костыли) Я пока прописал
RewriteCond %{QUERY_STRING} !(callback|logout|lostpassword)
Брут примитивный, без всяких параметров (да даже реферер одинаковый), а так AJAX логину защита мешать не будет.
С ajax плагинами входа тоже, они посылают POST запрос на wp-login.php, исключения для callback в урле можно хотя бы добавить, если запрос через XMLHttpRequest.
Поделитесь?) При условии, что подбор идёт запросами ничем не отличающимися от реальных посетителей, а логины и профили на сайтах должны работать.
Better WP Security нормально справляется, нагрузка проца стала не более 40%, а была под 100%. Поставил бан после 3-5 неудачных попыток на несколько суток, 180 айпишников пока набежало.
Если на сайте нет скриптов ajax входа с жёстко прописанным путём к wp-login.php или чего-то подобного, то можно вообще полностью избежать автоподбора, в плагине есть функция смены урла входа.
Да и есть плагины, которые банят посредствам htaccess наверно, там нагрузки совсем не будет.
Ламерский подбор так-то) Подбирают преимущественно пасс админа, а логин админа можно спокойно поменять.