Eğer sitenizde üyelik sistemine ihtiyaç yoksa kapatın ve wp-admin,wp-login.php ismini değiştirin yada wp-admin ve wp-login.php ye ip kısıtlaması yaparak sadece kendi erişime açın.
sitede üyelik ön planda malesef açık durması gerekiyor
Ek Olarak:
İşe yarar mı bilmiyorum ama Captcha eklentisini bir deneyin derim. Her girişte farklı bir kod soracağından belki saldırının önüne geçebilir.
captcha var ama ellede yapıyor olabilir yinede yapıyor saldırıyı