Non è così che funziona: non sono operazioni fatte a mano, sono dei programmi e non tutti gli scanner automatici sono malevoli (anche se non graditi). Gli attacchi veri provengono sicuramente da una rete che l'attaccante usa come proxy (pubblico, vpn, tor o che contiene dispositivi infetti), quindi la provenienza che credi di tracciare con gli indirizzi IP non indica la posizione dell'attaccante ma al massimo quella dell'ultimo strumento di cui si è servito.
Leggere i log di questo "Wordfence" può essere fuorviante se non si capisce cosa intende per malicious user-agents, perché letto così non mi sembra un tentativo di exploitation per prendere il controllo del sito, piuttosto suona come un bad bot che vuole spammare link nei commenti.
Diciamo che si è un far west: lo sceriffo c'è però in questo momento è molto impegnato con i gruppi di ransomware e APT, guerre, terrorismo eccetera quindi non può dare la caccia a gli spammer (e spesso vivono in paesi dove è legale quello che fanno).
Leggere i log di questo "Wordfence" può essere fuorviante se non si capisce cosa intende per malicious user-agents, perché letto così non mi sembra un tentativo di exploitation per prendere il controllo del sito, piuttosto suona come un bad bot che vuole spammare link nei commenti.
Diciamo che si è un far west: lo sceriffo c'è però in questo momento è molto impegnato con i gruppi di ransomware e APT, guerre, terrorismo eccetera quindi non può dare la caccia a gli spammer (e spesso vivono in paesi dove è legale quello che fanno).