我有一个自我托管的WordPress博客，几周来一直有人尝试以管理员身份登录。我在想办法阻止它。由于我开始阻止原始IP地址，尝试开始来自许多IP，但以10分钟为间隔，分三到四次尝试-所以很明显是一个人，我猜他们在使用僵尸网络。

我使用了几个安全步骤，并使所有插件保持最新。当然，Wordpress本身在当今是自动更新的。

这些不是我所有的安全措施，但我有…-“限制登录尝试”插件，但黑客切换IP地址意味着这没有多大效果。

我使用htaccess和htpasswd对wp admin目录进行密码保护。由于这已经存在了很长一段时间，我只是更改了目录访问用户名和密码，但没有什么区别，他仍然可以进入登录对话框。

当然，我的WP admin帐户不是“admin”，我删除了原来的admin帐户。

有一段时间，我甚至尝试重命名wp登录名。php，并将wp admin移出博客目录。当我想写博客或进行更改时，可以快速轻松地扭转这种局面。但Limit登录尝试仍然报告了尝试次数-21次，因为我重命名/移动了这些尝试。这怎么可能？我现在已经把这些放回了正常的地方。

我将此添加到。博客主目录中的htaccess（其中nnn etc是我的固定IP，example.com代替了真实域）：

RewriteCond %{REMOTE_ADDR} !^nnn\\.nnn\\.nnn\\.nnn$
RewriteRule ^wp-(login|register)\\.php http://www.example.com/blog/ [R,L]

我在中添加了一个变体。博客wp admin目录中的htaccess：

RewriteCond %{REMOTE_ADDR} !^nnn\\.nnn\\.nnn\\.nnn$
RewriteRule ^wp-admin.*?$ http://www.example.com/blog/ [R,L]

当我尝试通过wp登录从其他IP地址登录时。php，第一个htaccess正确地将我直接转到博客的首页。同样，当我尝试从不同的IP地址访问wp admin时，第二次htaccess会直接将我带到博客的首页。只有当我尝试从固定IP登录时，我才会看到目录访问密码的请求，然后是WP登录页面。

然而，黑客能够进入登录对话框。他还没有真正登录，我运行WordPress文件监视器，没有看到意外的文件更改，他还没有发现真正的管理员用户名，但我不能自满。

那么，谁能帮助我理解：

黑客怎么还能进入登录页面？即使在wp登录时。php和wp admin被临时重命名/移动？几天前，我清除了缓存并关闭了超级缓存（并重命名为wp super cache），以防缓存中的页面允许它们访问它。

我该怎么做才能阻止这一切？我可以完全访问父站点（共享主机）和MySQL数据库。