なんとか復旧したです。
WordPressに、ログイン履歴を記録するプラグインを入れてみました。これ、凄いですよ。
1秒〜数十秒間隔で、特定ユーザ名に対する総当たり攻撃(ブルートフォースアタック)が来てます。だぶってるのも有るんですが、パスワード片っ端からトライする方法ですね。既成の単語や数字の羅列、単語と数字の組み合わせなど、asdfgなんてものあるよ。
これで破られたようですね。結局、アルファベットと数字の組み合わせなんで、いつか破られるね。アタックしてくるサーバーはいくつもあって、ロボットと思いますが、どういう仕組みなのだろう。
いずれにせよ、判りにくいパスワード、且つ定期的に変える。これは重要かもですね。