アクセスの多いURL(ワードプレス)

昨日、AWStatsを入れてみたのだが、アクセスの多いURLトップ10は以下のようになっていた。

1. /wp/wp-admin/admin-ajax.php
2. /wp/wp-login.php
3. /wp/xmlrpc.php
4. /wp/wp-content/themes/cocoon-master/lib/analytics/access.php
5. /wp/wp-content/themes/cocoon-master/webfonts/icomoon/fonts/icomoon.ttf
...

さすがに今月2000回もログインしてないので、どうも知らない人が俺のワードプレスの管理者画面に勝手に入ろうとしているようだ(のかな？)
ログイン画面のURLを変更すると効果てきめんのようだが、デフォルトでその機能はない(プラグインを追加するか自分でコードを記述する必要がある)らしい。とりあえず、管理者ログインのパスワードを無茶長くしときました。
参考 WordPress管理画面のログインパスワードの変更 | WordPressの使い方

とりあえずやったことはそれだけ。
1のadmin-ajax.phpは必要なファイルでアクセス制限をかけてはいけないものらしい。3のxmlrpc.phpは制限かけてもいいが、一応使うらしいので保留。
参考
https://nelog.jp/attacked-php-files
ブルートフォース攻撃 - WordPress Codex 日本語版
WordPressにおけるxmlrpcへの脆弱性対応のお願い | スマートコネクト マネージドサーバ