過去の「WordPressのセキュリティー対策」というエントリーで「ログインユーザー名に『admin』は使わない」とか書きました。
さらに、不正ログイン対策に「Limit Login Attempts」プラグインで監視しています。

で、今日久し振りに不正ログインのロックをしたとメールがありました。

メールは設定した回数ロックすると通知が来るのですが、「Limit Login Attempts」の設定画面を見ると、1回ロックしただけのIPアドレスもログに記録されていました。

ログには20数件のIPアドレスが残っており、通知は久し振りだったけど、通知されない不正アクセスが結構あったことに気づきました。ちょっとショック。

さっそく、そのアドレスは全部アクセス禁止にしたのですが、もっとショックだったのは、最初の頃はユーザー名が「admin」でアタックされていたが、最近のものはユーザー名がバレている！

何故バレたのか不明ですが、これは一大事なので、ログインユーザー名も変更することにしました。

WordPressはユーザー名の変更はできない仕様なので、まず、別のユーザーを管理者権限で新規追加します。
一旦ログアウトし、新しいユーザー名でログインし直します。
そして、古いユーザーを削除します。その時に今までの投稿を新規ユーザーに割り当てます。そうしないとエントリーも削除されてしまいます。

ログインユーザー名やパスワードは、まめに変える必要があるようです。油断も隙もありゃしない。