Potrebbe essere un attacco così come la preparazione per un attacco.
Molto probabilmente si cerca di scoprire i plugin di wordpress installati o (a seconda della propria configurazione di apache / nginx), basta provare vari nomi predefiniti per i file (chiama l'enumerazione dei siti Web) per capire cosa si sta facendo. Ciò potrebbe portare ad alcuni tentativi di violazione effettiva del sito o potrebbe semplicemente raccogliere dati. Questo articolo mostra cosa succede se lo fai sui siti del govt;). Se si tratta di un tentativo effettivo, l'aggressore probabilmente ha raccolto molti exploit, imposta alcune dipendenze (come './cmv.php deve esistere e restituisce ...') e prova ad eseguirle. (Si potrebbe dire da log di accesso più dettagliati.)
In ogni caso. Se i tuoi log di accesso fossero più precisi, potresti distinguere queste due opzioni ma è probabile che non sia necessario. Questo accade alla maggior parte degli IP pubblici che hanno la porta 80 o 443 esposta quotidianamente perché c'è molta scansione e sfruttamento automatici in corso. Se la tua base di sicurezza funziona bene (come gli aggiornamenti, forse ModSecurity e così via) non c'è nulla di cui preoccuparsi veramente.