WordPressの管理画面のURLの変更についての懸念点を https://wordpress.org/support/topic/change-the-login-url-3/ よりまとめる。
テーマやプラグインの機能が停止するリスク
WordPressのAjax関数は、/wp-admin/admin-ajax.phpを介してトリガーされる。
そのため、管理画面のURLを変更することによって、それを使用する機能が停止するリスクがある。
URLを変更しても実際にサイトがより安全になるわけではない
多くのセキュリティアナリストが「隠蔽によるセキュリティ」と呼んでいることである。
これは単に強盗から身を守るために家の正面玄関を板で覆うようなもので、簡単に侵入しようとする人は阻止されるかもしれないが、熟練した泥棒は侵入するために別のドアや窓を探すだけである。
ログイン試行の半分以上は、xmlrpc.php経由で行われている
管理画面のURLを変更したとしてもxmlrpc.phpの試行は阻止できないため、ログイン試行回数を低減する役割を充分に担うことができない。
まとめ
なにか文字を入力して突破する手段(URLとユーザーのパスワード入力)が2つあるので、必須であるパスワード入力ひとつにして別の防御手段を導入するのがスマートということだ。
求められているのであれば実装するものの、それが直接的なセキュリティ対策とは異なるという方針が適切だと思われる。
なのでWordPressサイトのログイン周りの根本的なセキュリティ対策としては、IPアドレス制限やBasic認証をオススメするのがよいだろう。