.htaccess IP blokkade werkt niet

Om brute force aanvallen af te slaan heb ik de plugin Limit Login Attempts die IP-adressen blokkeert op basis van te vaak proberen in te loggen met een verkeerde login. Je kan ook instellen dat je een mailtje wil krijgen dat er een IP geblokkeerd is. Op die manier heb je een idee van het aantal brute force pogingen.

Nu er (blijkbaar) botnets worden ingezet en/of IP-adressen worden gespoofd, werkt dit niet meer afdoende.

Dus zette ik .htaccess in om /wp-admin te blokkeren voor alle IP-adressen, zelfs het mijne. Bezoekers konden al niet registreren, laat staan posten. Alle pagina’s en berichten heb ik gecontroleerd op de reactie-optie, die staat overal uit. De /wp-login.php veranderde ik van naam.

Ik heb dit ook getest.

Nog blijft de plugin blokkades melden. Ik begrijp niet hoe dit kan. Hoe kan men nog steeds proberen in te loggen als de wp-admin folder en de wp-login.php niet beschikbaar zijn??