Sunucu derken öyle kapsamlı bir ayarlama değil. Nginx kullanıyorsanız wp-login request limit yazdığınızda hazır üç beş satır kodu kopyalamanız yeter.

Litespeed kullanıyorsanız zaten kendisi zaten böyle bir özellik sunuyor. https://www.litespeedtech.com/support/wiki/doku.php/litespeed_wiki:config:wordpress-protection Hatta hosting firmalarının hemen hemen çoğu bu yöntemi açıyor zaten. Siz ayrıca wp-login.php için dizin şifrelemeyi açarsanız fazlasıyla yeterli.

Gizlenen sayfayı nasıl buldukları belki loglardan ortaya çıkabilir. Access.lıg erişiminiz varsa eğer oradan ctrl+f yaparak değiştirdiğiniz dizini aratın. "gizli-giris-sayfasi" gibi... Loglarda gördüğünüz ip adresinin hangi sayfaları ziyaret ettiği ayrıca görünür beya yine access.log referrer kısmından da geldikleri sayfa varsa bulunabilir belki.