公開している内容と関係のない文字列がコメント欄に投稿され、ホームページへ大量に登録されてしまうことをコメントスパムと呼びます。
コンテンツそのものへの影響はありませんが、1ページへの登録件数が万単位になると、サーバ負荷が高まり、自身だけではなく同サーバを利用しているユーザのコンテンツの表示も遅延することがあります。

WordPressの管理画面はwp-login.phpというプログラムファイルを中心に構成されています。悪意のある第三者は不正な文字列をサーバへ送信することでプログラムの脆弱性(ぜいじゃくせい)を利用し、管理画面へログインします。このような状態となった場合、悪意のある第三者はWordPressのすべての機能を使用することができます。

WordPressは「プラグイン」と呼ばれる拡張機能があり、有志や愛好家が公開しているプログラムを追加することができます。悪意のある第三者は不正な文字列をプラグインとなるプログラムに対して送信することでプログラムの脆弱性(ぜいじゃくせい)を利用し、不正なアクセスを行います。影響度は脆弱性の程度によって差があるものの、多くの場合、管理者が意図しないファイルを設置されます。

WordPressには自身のホームページに対する言及を第三者のホームページ上で行われた場合、そのことを通知する、「Pingback」という仕組みがあります。この仕組みを悪用されたとしても、自身のホームページを書き換えられることはありませんが、知らないうちにどこかのサーバへの攻撃に加担してしまう可能性があります。

ランダムな文字をプログラム的に作り出して何度もアクセスを試み、認証を突破することを「ブルートフォースアタック」もしくは「辞書攻撃」と呼びます。突破された場合、管理者が意図して公開を制限しているファイルを閲覧されたり、WordPressのすべての機能を使用することができてしまいます。

『All In One WP Security & Firewall』をはじめ、WordPressのプラグインを有効化するには、
WordPressの管理画面(ダッシュボード)にログインしてください。

次に、左側に並んだメニューの＜プラグイン＞という項目をクリックしてください。

＜プラグイン＞の画面に変わりますと、『All In One WP Security』という項目がありますので、
All In One WP Securityの文字のすぐ下にある「有効化」の文字をクリックしてください。

すると、上記のように左側のメニューに「WP Security」の文字で項目が追加されます。
「WP Security」をクリックするか、マウスオーバーする事でAll In One WP Security内の各メニューにアクセスする事ができます。

スパムコメントを制御するには、＜SPAM Prevention＞のメニューを開きます。

【1】のチェックを入れる事で、コメント欄に簡単な足し算を入力するフォームを追加します。
スパムコメントの大半はボット(botと呼ばれる自動化されたプログラム)によって投稿されますが、ボットの多くは足し算の答えを入力する事はできません。これによりスパムコメントを抑制できます。

【2】のチェックを入れる事で、コメントの投稿を制限します。
これにより、WordPressはコメントフォームのみ入力を受け付けるようになります。

WordPressのログインURLは、必ず末尾に wp-login.php が付くので推測されやすく、そのため、悪意の第三者に推測されやすいものとなります。
＜Brute Force＞ メニューの Rename Login Page Settings では、WordPress ログインURLを任意のものに変更する事で、管理画面への不正アクセスを抑制します。

【1】のチェックを入れると、【2】で指定したURLがWordPressのログインURLになります。
この場合、 http://example.com/?exmple がWordPressのログインURLに変更されます。

Pingback機能とは、自分のWordPressの投稿に対してリンクが張られたことを知らせる機能ですが、
これを利用して外部のサイトにDDoS攻撃を仕掛けられる事があります。

Pingback機能は、初期状態で有効になっています。
ホームページの運営において必須とされる機能でなければ、＜Firewall Setting＞メニューのBasic Firewall SettingsタブからWordPress Pingback Vulnerability Protectionをにチェックを入れ、無効化される事をお勧めします。