wordpressのwp-login.phpを狙った不正アクセスが増えてきたので、なんとか対策しようとwp-login.phpの名前を変えてみました。Tera Termなどのターミナルでwordpressがインストールされたディレクトリから、下記のコマンドでphpに書かれた全てのwp-login.phpを一括変換します。.phpだけにしたのは、全ファイルでやってしまうとja.poの中身なども変換され、文字化けを起こしてしまう可能性があるためです。
%find . -type f -name '*.php' -print0 | xargs -0 perl -i -pe 's/wp-login.php/wp-login2.php/g'
もちろんいろんな方法で変更後のログインページを探し当てられる可能性はあるのですが、これを行ったところ一応変更後のログインページへのアクセスは無くなったので最低限の防御はできたと思います。
もちろん、IDをadmin以外にしたりパスワードを長くしたりという基本はやったうえで。
あと、念のため検索エンジンなどにキャッシュされないよう下記のような一行もヘッダに記入しています。
<meta name='robots' content='noindex,nofollow' />