En algunas ocasiones pueden intentar bombardear a peticiones nuestro fichero wp-login.php para obtener el usuario y contraseña. Para evitar que obtengan nuestros datos y que sobrecarguen los recursos del servidor podemos aplicar una acción correctiva.
Para prevenir estos ataques de fuerza bruta podemos instalar un plugin de seguridad como por ejemplo IThemes Security.
Una vez instalado el plugin veremos que ofrece muchas opciones de seguridad, la que nos interesa en nuestro caso es la de "bloqueos", y activando "fuerza bruta local y ataque de fuerza bruta en red". Ambos activados por defecto:
Pulsamos sobre "siguiente" y nos aparecerá las siguientes opciones a configurar. Continuamos pulsando siguiente hasta que tengamos el sitio asegurado y pulsamos en "finalizar":
Posteriormente, si vamos a la parte de seguridad, del menú izquierda de wordpress, pulsaremos en "ajustes", en "bloqueos" y en el icono de la rueda dentada de "ataques de fuerza bruta en red". Deberíamos verlo así:
Una vez en el menú que aparece vamos al apartado "fuerza bruta local" y activamos "bloquear automáticamente al usuario "admin". Si el wordpress ha sido instalado por nuestro instalador el nombre de usuario será distinto a admin. Si lo ha configurado por su cuenta le recomendamos no utilizar el nombre de usuario admin como nombre de usuario al instalar wordpress.
Con esto aplicado hemos protegido nuestra instalación de WordPress ante ataques de fuerza bruta al login.