Ha üzemeltető vagy, akkor első lépés legyen az xmlrpc.php letiltása és http auth a wp-login.php + /wp-admin/ könyvtárra (kivéve ajax.php) - ennyi a feltörő robotok 99 százalékát megfogja.
Sucuri és egyéb vicces php izék csak eszik az erőforrásokat - ha fizetsz akkor kapsz egy tűzfalat, de akkor inkább az ingyenes cloudflare - ott meg .cn .sg .ru .ua .tor kitiltása, wp-login.php-ra egy javscript check, egy rakat useragentet is érdemes vele tiltani.