仅供参考：此信息也已发布here 因为我对这个网站相当陌生，不知道Wordpress部分的存在。很抱歉重新发布

我目前正在努力加强网站的安全性，该网站正在wordpress （单独安装，不在wordpress.org/.com上）。我已安装Wordfence 这会阻止所有试图立即使用无效用户名的IP，效果很好（每天大约有200多个被阻止的IP）。

因为我们的ISP提供的主机名如下

www-xxx-yyy-zzz.my.isp.tld

除我之外，没有需要登录的用户。我想我会添加一些方法来进一步防止暴力攻击。

WP Codex有一个section about preventing access to wp-login.php 对于没有提交表单的任何人。在我看来，这应该可以消除任何试图强行进入的脚本，比如：

www.mydomain.tld/wp-admin.php?log=admin&pwd=alex

现在，对于任何提交表单的人来说，这是行不通的，所以我在wp-login.php 这将检查主机名，如果与我们的ISP不匹配，则重新定向：

<?PHP
if (strpos(gethostbyaddr($_SERVER[\'REMOTE_ADDR\']),\'my.isp.tld\') == false) {
    header(\'Location: http://www.google.com/\');
}
?>

我检查过了，当我尝试访问wp-login.php 在我的手机上，它把我带回了谷歌，另外，当有人尝试时，我会收到一封电子邮件。到目前为止，我只用这种方法阻止了3-4次登录尝试。

现在从我的角度来看，我已经处理好了所有的事情，但Wordfence仍然会向我发送有关阻止登录尝试的通知。

为了看看它是否有用，我在.htaccess Wordpress主文件夹中的文件，据我所知，该文件应拒绝所有访问，除非来自我的ISP：

<Files "wp-login.php">
    order deny,allow
    allow from my.isp.tld
</Files>

电子邮件还是源源不断地寄来。现在的问题是：

还有别的方法打电话吗wp-login.php 为了尝试登录，我还没有想过？似乎仍有一些方法可以使用，但这些方法不属于上述场景的一部分。

正如在另一个问题中所评论的：尝试失败的IP不会被欺骗以适合我的IP。

非常感谢您的任何想法、意见等。

再见