O plugin para Wordpress: Wordfence é a solução para esse problema.
Tem muitas configurações interessantes mesmo na versão free, para este caso, eu configurava para dar um ban permanente a todos os IP que tentarem logar com o username: admin, administrator, user, username, test, etc. (ou outro que esteja a ser utilizado pelos atacantes).
Dar um ban de 30min a todos os IP que tentarem logar mais de 5 vezes em uma conta.
Mesmo a utilizarem proxies, eles custam dinheiro e não são infinitos, eventualmente consegues banir todos os IP dos atacantes.
Pelo contrário, esse Wordfence é um abre portas a vulnerabilidades no Wordpress, usar plugins de segurança como forma de impedir seja o que for, é mau.
Não é desconhecido, de que quanto mais plugins usares pior é o desempenho do site e mais chancês de teres vulnerabilidades é muito maior.
Isso não vai fazer grande coisa, alias podes até ser banido. Facil de resolver no entanto para iniciantes pode ser uma dor de cabeça, especialmente para quem tem IP Fixo.
Só para teres noção, deixo-te um pequeno screenshot das vulnerabilidades de muitos plugins que nem imaginas, na altura pode dar um jeitão, mas por detrás criam "buracos" que podem ser explorados por quem sabe.
https://i.imgur.com/frKu5Mx.png (Só isto perguntas tu? Tem muito mais paginas...)
Tal como disse, o melhor é procurar um alojamento gerido com Firewall e um Anti-DDoS, ese WordFence bloqueia as tentativas, mas não bloqueia o tráfego completamente. Não esquecer que o site cai devido as inumeras tentativas de login.
É como se fosse vários carros a entrar no tunel e a entupir de carros em simultaneamente.
Sem querer ofender, critica construtiva mas também és daqueles que pensa que esse plugin protege de ataques de DDoS?
Cuidado, não pensem que todos os plugins do Wordpress vão vos resolver tudo! Plugins são um extra, não a salvação.
