XREAにはアクセスログ機能がついている。
それを眺めていたら驚いた。
1日に数10アクセスだと思ったら、まあ、とんでもない。
/xmlrpc.php、/wp-login.phpに数1000オーダーのアクセスが記録されていた。
なるほど。これらへのアクセスなら自前のカウンターにも、Google Analyticsにも、アクセスが記録されないはずだよ。

wp-login.phpはWordPressの管理者にログインするためのページ。
xmlrpc.phpは使ったことがなかったので、グーグル先生に聞いてみたら、メールで投稿したりするためのもの。
どちらもWordPressの脆弱性を突くための定番の方法のようだ。

要するに、いろんなところからアタックされていて、それが異常な数のアクセス数になっていて、結局は000webhostを追い出された、とこういうことらしい。

＿|￣|○

ということでWordPressのセキュリティーの強化を試みた。すでにやっていたものも含めてまとめて。

public_html直下

(1) .htaccess、.htpasswd、wp-config.php、xmlrpc.phpの外部アクセスを禁止するように.htaccessを設定

<Files ~ "^(\.htaccess|\.htpasswd|wp-config\.php|xmlrpc\.php)$">
  Deny from all
</Files>

(2) wp-config.phpのパーミッションを0600（rw-------)に設定。（FTPクライアントなどを使って）

public_html/wp-admin

(1) アクセスできるホストを制限し、さらにBasic認証を行うように.htaccessを設定

Order Deny,Allow

Deny from all

Allow from xxx1.jp（注：使っている固定プロバイダー）
Allow from xxx2.jp（注：使っているモバイルプロバイダー）

Authname "Restricted"
Authtype Basic
AuthUserFile /virtual/xxxxxx/public_html/.htpasswd
require valid-user