Et une autre attaque, ca test fort en même pas 24h ...
Je ne sais pas si ca peut vous aider à sécuriser encore plus le CMS, mais ca peut vous donner des idées, peut-être.

je ne sais pas si c'est inquiétant il faudra que j'installe le plugin chez moi pour voir. perso pour les statistiques j'utilise matomo.

je pensais a des bots de scraping mal programmés mais bon je vois windows=>windows=>windows=>Mac et deux fois des tentatives de login par deux ip différente (surement une tentative de brut force) mais c'est courant sur le web.

tu peux si tu es a l'aise:
modifier l'adresse d'accès au login pour cacher le point d'entrée.
et supprimer le lien de connexion du layout.

je ne sais plus, mais il me semble qu'il y a moyen de savoir si c'est du bot ou non.

on remarque que sur les deux tentatives de brut force tu as deux user agent différent, deux ip différentes mais a un endroit tu remarques que la même IP est utilisée pour le même user agent. alors qu'elles sont différentes après.

c'est de "l'attaque" automatisée. Du test, à la base ils cherchent du WP donc pas inquiétant en soit mais ça leur donne des indications sur la structure du CMS.

dans tout les cas, a part protéger les formulaires, hasher les mdp et faire attention a ne pas divulguer son identifiants. il n'y a pas grand chose a faire. les captcha peuvent aider .

Rien d'inquiétant là dedans, ce sont des bots qui cherchent à exploiter une faille, particulièrement dans xml_rpc de WordPress qui n'existe pas ici, ou à lister un dossier qui comprendrait des backups.
Rien à voir, circulez ^^