ITS (iThemes Security) < 7.9.1 souffre d'un bug de lecture de GET/POST/REQUEST pouvant mener à la page wp-login de WordPress. Le but de ce module est donc cassé.

Quand vous connaissez le nom de la nouvelle page de connexion, vous êtes redirigé vers la page de connexion avec le nouveau paramètre agissant tel un jeton secret, il s'agit de itsec-hb-token. Puisque ce paramètre est en GET, Google (ou d'autres moteurs) peut l'indexer, voilà pourquoi vous pouvez sans difficulté trouver ces jetons sur les moteurs de recherche.

https://secupress.me/fr/blog/ithemes-security-7-9-1-hide-backend-bypass/