私の受け持っているサイトではありませんが、取引先様のサイトが高アクセスがありサーバーに高負荷がかかったということで警告されました。

「あれ？【wp-admin】フォルダにはアクセス制限かけていたよな、なんで？」と思い、ログ等で色々調べてみると下の２つにアクセスが多くかかっていたね。

・・・アクセスの１/１０が普通に見に来たお客様、残りは●●攻撃されたアクセスって・・・。

index.phpと同じ階層にある「wp-login.php」「xmlrpc.php」の二つ

wp-login.phpについて

ログインしてクッキーが効いていればこのファイルのURLにアクセスすることなく、http://～ホームページ～/wp-admin/でユーザーIDとパスワードを入力することなく自動的にログインすることができる。
クッキーの有効期限が切れると/wp-admin/をアクセスしても、wp-login.phpのURLに転送される。

よってブルートフォースアタックでは/wp-admin/ではなく、wp-login.phpの方に攻撃を仕掛けてくる。

xmlrpc.phpについて

リモート投稿をする時にこのファイルを経由して投稿する。
記事やコメントの投稿、ファイルのアップロードもこのファイルで行っている。
またPingback送信機能も兼ねている。

基本は「有効」になっている。

この脆弱性を悪用したDDoS攻撃を行われる可能性がある。

参考：今度はWordPressが踏み台に、Pingback機能を悪用しDDoS攻撃

オマケ.wp-config.phpについて

このファイルは重要な設定ファイルなので、改ざんされないよう確実に見れないようにする必要がある。

つまりファイルを指定してのアクセス制限対策を行う必要がある。

・・・警告が届くまで思いつきもしませんでした。
警告されたサイトには早速対策をしましたよ。
プラグインでセキュリティー対策をするだけでは足りないということがよく分かった一件でした。