Minha maneira preferida de lidar com isso é bloquear o acesso a qualquer coisa na pasta /wp-admin/
e /wp-login.php
em todos os lugares, exceto em um IP estático conhecido, digamos, o IP do seu escritório. Exceto isso, procure em fail2ban
ou qualquer número de plugins wordpress que possam lidar com a mitigação dessas tentativas de invasão por força bruta.