Ayuda contra ataques a wp-como defender mi wp

Muy buenas a todos, tengo un problema con una pagina en construcción (aclaro que soy nuevo en wp), el problema es que estoy practicando y hay unas direcciones ip que intentan entrar a la pagina (siempre cambian las ip) creo que la intentan hackear, y aunque le he leído y tomado muchas medidas de seguridad me molesta que lo siga intentando.
este es un registro de lo que me aparece en el log

2022-05-16 21:25 Human 145.239.67.10 /wp-content/plugins/BrutalShell/wp.php 404
2022-05-16 21:24 Human 145.239.67.10 /wp-content/plugins/wordpress/aya.php 404
2022-05-16 21:24 Human 145.239.67.10 /wp-content/plugins/unicode/cgi.php 404
2022-05-16 21:21 Human 145.239.67.10 /wp-content/plugins/wpyii2/wpyii2.php 404
2022-05-16 21:20 Human 145.239.67.10 /wp-content/themes/twentytwenty/assets/aya.php 404
2022-05-16 21:19 Human 145.239.67.10 /wp-includes/images/media/aya.php:bagongyugto.com 404

Estuve pensando en algunas soluciones una seria bloquear las ips que tengan en su nombre de host ____amazonaws.com o ____.eu ya que la mayoria de las ip que utiliza tiene ese formato. Alguno sabe como se podría hacer esto? o si hay una solución mas adecuada?
La otra opción seria hacer una lista blanca con las ip de argentina y bloquear todas las demás, pero me perjudicaría con servidores de google facebook y demas creo que me traería problemas con el seo y otras cosas, ademas no tengo ip estatica.

Estas son algunas de las precauciones que he tomado
1-Modifique los permisos de los archivos /wp-config.php y .htaccess a 044
2-Limite los intentos de loguin a 2 y un bloqueo de 6 horas
3-Habilite la autenticacion de 2 factores con la app de google
4-Los formularios tienen recapcha v3
5-Cambie la ruta de autenticacion de wp
6-Deshabilite XML-RPC
7-Deshabilite la numeracion de usuario
8-Lo ultimo fue instalar un bloqueador de click derecho para que no pueda darle a inspeccionar elemento, no se que tanto sirva pero para complicarle la vida XD.

No me preocupa mucho, ya que muchas de estas cosas las aprendi viendo el log de los ataques que intentaba hacer, pero no encuentro solucion para poder bloquearle el acceso definitivo a la pagina, aunque estoy probando y no pasa nada si la hackean, me gustaria poder defenderme mejor de estas cosas por lo que solicito sus opiniones.

Che, me gusta mucho este tópico. Me gustaría si todos podemos sumar un granito de arena sobre esto.

En relación a lo que comentas de bloquear IP, sin lugar a dudas es como vos decís, al menos bajo mi experiencia llegué a la misma conclusión.

En relación a las acciones que fuiste tomando, noto que todas están buenas (el bloqueador de clicks está demás xD). Te comparto algunas que realizamos en la agencia para aumentar la seguridad:

  1. Instalamos Wordfence
  2. Deshabilitamos la posibilidad de editar plugins y temas desde el backend
  3. Deshabilitamos los comentarios y los pingbacks
  4. Eliminamos los usuarios más típicos (admin, administrator, administrador, etc)

De los que mencionaste estos son los que faltarían digamos que implementamos. Adicionalmente generamos disintos backups, porque lo más coherente en estas situaciones es entender que el hackeo siempre es una posibilidad, y a fin de cuentas si te hackean tenés que tener un respaldo para poder tirar para atrás el ataque.

Si hay algo que quedó fuera del tintero de lo que sumó el compañero @Nexadr y lo que sumé yo, comenten!!!

Muchas gracias por tu aporte, por las dudas sabes como bloquear el acceso a los datos de usuario mediante misitio.com/wp-json/wp/v2/users/, con esa cadena me muestra mucha informacion del usuario como el username y no quiero que se pueda ver.

Hola @Nexadr con qué estás deteniendo la enumeración de usuario?

Si lo haces con este plugin:

Deberías de ser capaz de evitar que se acceda a la url indicada. De hecho el mensaje que debería de aparecer en dicha url es el siguiente:

{“code”:“rest_cannot_access”,“message”:“Solo usuarios autenticados pueden acceder al punto final de la API REST.”,“data”:{“status”:401}}

Hola, muchas gracias por el aporte, te consulto, he notado que hay paginas que analizan los plugins que tienes instalados y la vercion de wordpress, alguna idea de como podria hacer para esconder esa informacion? ya que los plugins son uno de los principales puntos vulnerables de wordpress y cuanto menos informacion pueda ver los atacantes mejor.

No lo probe, pero fijate esto: WP Hide & Security Enhancer – WordPress plugin | WordPress.org

VIDEO DE COMO FUNCIONA EL PLUGIN