Nous avons installé Limit Login Attempts depuis quelques semaines maintenant, et le nombre de tentatives de force brute sur wp-admin / wp-login est assez étonnant. Au début, les tentatives étaient toutes avec le nom d'utilisateur "Admin", qui n'existe pas sur notre site, donc je l'ai considéré comme une gêne mais pas vraiment une menace. Cependant, nous voyons maintenant des verrous se produire avec d'autres comptes d'utilisateurs administrateurs nommés et je ne comprends absolument pas comment les attaquants déduisent les noms d'utilisateur de ces comptes.
Aucun contenu sur notre site n'est rédigé par quelqu'un en particulier et je ne trouve aucun autre emplacement sur notre site où ces noms d'utilisateur sont publiquement publiés.
Une idée de la façon dont les noms d'utilisateur peuvent être découverts?