Что делать, если в логах появляются подозрительные попытки входа? Немедленно заблокируйте IP-адреса этих запросов через файрвол или .htaccess, смените все пароли на сложные и включите двухфакторную аутентификацию. Затем проверьте, не был ли скомпрометирован какой-либо аккаунт, и проанализируйте, откуда идут атаки: брутфорс это или целевой перебор по конкретному логину.
Важный технический нюанс: обратите внимание на временные метки попыток — автоматизированные атаки обычно идут с интервалом в 1–2 секунды, а целенаправленные могут быть разнесены на часы. Мини-чек-лист: 1) заблокируйте атакующие IP; 2) смените пароли всем пользователям, кто упоминается в логах; 3) включите логирование всех неудачных входов и уведомления об этом на почту. Если попытки продолжаются, настройте лимит на число ошибок входа за минуту.