WordPressサイトへの攻撃は、総当たり攻撃（ブルートフォースアタック）が用いられることが多いです。

そして、多くの場合は「よくありそうなログイン名」や、「よくありそうなパスワード名」で攻撃を仕掛けてきます。

ここでは、ログイン履歴を記録するWordPressプラグインである、crazyboneにより取得した、攻撃者の実際に使ったログイン名とパスワードを事例として取り上げたいと思います。

攻撃者が用いたログイン名　adm

パスワード　forever  jordan mmmmmm  stargate 7777  galaxy georgia ・・・・

この攻撃者はadmというログイン名を用いて、辞書に載っているような単語を総当りで当てはめています。

攻撃者が用いたログイン名　admin

パスワード　gfhjkm　111　147258369　666666　abc1234　qweqwe

この攻撃者はadminというログイン名で、連続した文字列や、ランダム数値などを当てはめて攻撃しています。

他、攻撃者が用いたログイン名としては、root　administratorとあり、上の4つのログイン名でアタック全体の9割を占めています。

このことから推測すると、ログイン名はadm、admin、adoministrator、rootの4つは避けること。文字数は少なくとも8文字以上、そして、連続した数値や文字列は避けること、というよく言われる話が真であるとわかります。