Tegyél be a login oldal elé egy basic auth-ot. A 401 szerintem elijeszti a botokat, mivel nem látnak WP oldalt. Akkor brútolnak ha látják, hogy ott egy valódi WP admin oldal rejtőzik.
Persze lehet, hogy nekiesnek a basic auth-nak is, de kevésbé tartom valószínűnek, és a terhelés is kisebb lesz. Ráadásul arra valszeg egyszerűbb fail2ban -t konfigolni.