Umbenennen von wp-login hat schon ein wenig gebracht
disable xmlrpc.php ist wohl auch noch erforderlich…
Danke @pixolin, der „hidden“ – Account ist inzwischen nur einer von mehreren existierenden Accounts, die verwendet werden. Unser Hacker benutzt also die user-Enumeration Methode.
„WPS Hide Login“ war super einfach zu finden, installieren und benutzen, unterstützt leider die Groß-Klein-Unterscheidung unseres Webservers nicht, aber ist erstmal der einfachste Ansatz.
2Faktor macht es uns selbst mühsamer ( wo liegt das Handy ? ) und das login muss wirklich personenbezogen erfolgen. Ist aber Stand der Technik, zugegeben. Bei meiner Bank sehe ich’s ja ein.
Mal sehen.
Danke, gelöst (vorerst)