Подбирают пароли на сайты. Что делать?

Ввести в гугл "защита от brute force"

Если админку брутят, можно поставить доп авторизацию через .htaccess, а еще лучше поменять урл входа.

дополнительно от себя посоветую:

- fail2ban (IP, которые сунутся в админку более N раз в админку за время M - в бан)

- очень помогло последний раз: тупо заблочил ASN Hezner и Amazon - большинство этих брутфорсеров и прочих говноботов работали оттуда

Дополнительно: LEASEWEB, OVH, PIN (из сетей PIN одно говно лезет). Остальные отлавливать.

Если у вас тупо при бруте пароля лагает серв, то это либо проблема маломощности сервера для wordpress, либо брутят очень быстро и это скорее уже стоит расценивать как http флуд и принимать меры по противодействию флуду помимо брута

Сделайте доступ к админке только если есть кука, например:

myadmin=1;

Всем остальным 404 ошибка.

А себе сделайте php файл, который ставит куку и редиректит уже на вход в админку.

Делов на 5 минут.

На приличных хостингам, есть такая защита от ботов, где ставится рекапча на любые страницы сайта. Посмотри на хостинге внимательно в настройках, может тоже есть.

И установи плагин WP Security - он легкий и там есть все базовые настройки защиты

Попробуйте плагин для WordPress Limit Login Attempts – вроде что-то блокирует, можно настроить количество попыток входа в админку и на сколько часов заблокировать ip. Ведет Лог и постоянно у меня в нем кто-то блокируется. Не помню тут или не тут, но вроде от брутфорс атак кто-то советовал установить.

Я блокирую через .htaccess

<Files wp-login.php>

Order Deny,Allow

Deny from all

allow from мой_айпи

</Files>

<Files xmlrpc.php>

Order Deny,Allow

Deny from all

allow from мой_айпи

</Files>

Еще можно поставить плагин AIO WP Security & Firewall - настроек очень много, может и в вашем случае поможет. За 3 года пока в админку никто не пробрался, хотя периодически пытаются брутить. ХЗ правда, можно ли с его помощью снизить именно нагрузку на сервер.

Ну и по личному опыту - бесконечно брутить не будут, если стоит плагин с баном по IP, рано или поздно закончатся ресурсы.

Еще себе в хтаксесс такое в свое время добавил - меняет адрес админки на кастомный урл, любопытных отсеивает.

your_secret_key - свой произвольный ключ.

custom_admin_ur - свой адрес для доступа в админку.

yoursite.com - адрес вашего сайта.

# BEGIN Hide console URL
<IfModule mod_rewrite.c>
RewriteEngine On
 
RewriteRule ^custom_admin_url/?$ /wp-login.php?your_secret_key [R,L]
 
RewriteCond %{HTTP_COOKIE} !^.*wordpress_logged_in_.*$
RewriteRule ^custom_admin_url/?$ /wp-login.php?your_secret_key&redirect_to=/wp-admin/ [R,L]
 
RewriteRule ^custom_admin_url/?$ /wp-admin/?your_secret_key [R,L]
 
RewriteCond %{SCRIPT_FILENAME} !^(.*)admin-ajax\.php
RewriteCond %{HTTP_REFERER} !^(.*)yoursite.com/wp-admin
RewriteCond %{HTTP_REFERER} !^(.*)yoursite.com/wp-login\.php
RewriteCond %{HTTP_REFERER} !^(.*)yoursite.com/custom_admin_url
RewriteCond %{QUERY_STRING} !^your_secret_key
RewriteCond %{QUERY_STRING} !^action=logout
RewriteCond %{QUERY_STRING} !^action=rp
RewriteCond %{QUERY_STRING} !^action=postpass
RewriteCond %{HTTP_COOKIE} !^.*wordpress_logged_in_.*$
RewriteRule ^.*wp-admin/?|^.*wp-login\.php /not_found [R,L]
 
RewriteCond %{QUERY_STRING} ^loggedout=true
RewriteRule ^.*$ /wp-login.php?your_secret_key [R,L]
</IfModule>
# END Hide console URL