今まではログインエラーが発生すると、端末が10秒間ブロックされる仕組みになっていましたが、
IPアドレスを変えてアタックされた場合の対策として、
ログインエラーが多発すると全ユーザーのログインをブロックする仕組みを導入しました。

発動条件は、
SSLログインの場合、100秒間に50回ログインエラーが発生している場合に発動して、その時だけブロック。
トップページログインの場合、100秒間に100回ログインエラーが発生した場合に発動して、そのプロセスは以後100秒間ログイン不可。
となります。

メールアドレスとパスワードによるログインの際だけ影響し、
セッションによるログインには影響しません。

トップページログインは常駐マルチプロセスなため、
プロセスごとに解除時刻が違います。


XML-RPCの方はまだ導入していませんが、
今日にでも導入すると思います。