Manteniamo diversi siti web wordpress che ricevono regolarmente tentativi di forzatura bruta delle credenziali dell'amministratore. Parte del nostro pacchetto standard di implementazione è l'installazione di All in One WP Security and Firewall plugin. Parte della funzionalità di questo plugin è la possibilità di rinominare la pagina di accesso da wp-admin a qualsiasi cosa.
Presumibilmente, questo rimuove lo schermo di login dagli aggressori di forza bruta dal momento che (teoricamente) non sanno quale sia la nuova pagina di accesso. Continuiamo a vedere i blocchi dell'account di forza bruta anche dopo che abbiamo rinominato la pagina di accesso di wp-admin.
Come è possibile che gli attaccanti continuino a tentare di accedere se la pagina di accesso è cambiata?