結論から言います。
管理コンソールログインページの URL を変更しましょう。
デフォルトだと、
https://なんちゃらかんちゃら.com/wp-admin
みたいになっているかと思います。
ただこれだと、ブログトップページの最後に wp-admin をつけてしまえばログインページが表示されてしまいます。
ログインパスワードが必要だと言えども、悪意のあるユーザからすると不正アクセスしてくださいと言っているようなものです。
実際に何個か適当に出てきたブログで試してみると、変更していない場合が多いです。
対策はシンプルで、wp-admin の部分を自分しかわからないような文字列に変えてしまえばよいのです。
ログインページのURLを変更するプラグインはいくつかあると思うのですが、私が使っているのは All In One WP Security です。
設定項目が非常に多くややこしいのですが、ログインページのURL変更手順は下記です。
※ その他の設定はいろいろなサイトで説明しているのでここでは割愛します
WP Security で Brute Force を選択。
Enable Rename Login Page Feature にチェックし、Login Page URL に任意の文字列を設定します。
これで元のログインURLは無効になりました!
