Para evitar este tipo de ataques en los wordpress debeis incluir en los ficheros htaccess de los wordpress el siguiente código.
<IfModule mod_rewrite.c>
RewriteEngine on
RewriteCond %{REQUEST_METHOD} =POST
RewriteCond %{HTTP_REFERER} !^http://(.*)?.<HOSTING> [NC]
RewriteCond %{REQUEST_URI} ^/wp-login\.php(.*)$ [OR]
RewriteCond %{REQUEST_URI} ^/wp-admin$
RewriteRule ^(.*)$ – [F,L]
</IfModule>
Cambiando la parte en negrita por el nombre de tu hosting.
Con esta regla se evita el uso de scripts automatizados para acceder a la parte de administración, mientras que si accedes desde un navegador no habrá ninguna restricción