Existem 2 abordagens que você pode seguir
Segurança por obscuridade - altere a porta e não use nomes de usuário e senhas óbvios
Defesa ativa - Eu uso fail2ban para bloquear automaticamente tentativas de força bruta - é acionado por um certo número de logins com falha (que é configurável) e define uma regra de firewall para bloquear essas tentativas. Eu vou por 3 falhas draconianas, e uma proibição de uma semana, que tende a abafar qualquer tentativa de força bruta