uma maneira comum de bloquear forças brute em todos os tipos de serviços, incluindo a autenticação básica http, é fail2ban . Bots não podem falsificar um endereço IP de origem para uma conexão TCP completa (no seu caso, uma solicitação HTTP), você não precisa se preocupar com isso. (veja Os endereços IP são "triviais para forjar"? )