В процессе освоения WP выяснилась одна удивительная особенность этого движка. По дефолту полностью отсутствует какая-либо защита от регистрации "левых" пользователей - так называемых ботов. Боты набегают и регистрируются просто пачками. Как быть? Как спасти спасти свой сайт от засорения мёртвыми душами? Предлагаю несколько путей:
1. Полностью закрыть регистрацию. Например, закрыть доступ к wp-login.php через .htaccess:
<Files "wp-login.php">
Order deny,allow
deny from all
#Список IP через пробел, с которых доступ разрешен
Allow from 123.45.67.89 87.65.43.21
</Files>
Ну или как ещё заблагорассудится.
2. Перенести wp-login.php куда-нибудь в другую директорию. Пока так не делал, держу в мыслях вариант про запас.
3. Усложнить регистрацию при помощи готового плагина.
Если вы попробовали зарегистрироваться у нас, то увидели, что именно третий вариант сейчас (20.03.14) и действует. От себя могу порекомендовать плагин Register Plus Redux. Установил, настроил. Пока всё работает и ботов не видно.
Интернет ещё советует несколько плагинов, но, честно говоря, не проверял их (Force User Field Registration, WP Disclaimer...)
4. Ещё 100500 разных методов, в том числе связанных с модификацией кода wp-login.php.
В каждом случае есть как плюсы, так и минусы. Например, если править код, то после обновления всё слетит, в плагине может быть бага и т.д., и т.п.