Tentarei, de uma forma simples, pontuar os procedimentos e/ou plugins que auxiliarão na proteção dos Bad Bots e usuários maliciosos, protegendo seu WordPress.

Instale os plugins à seguir:

Wordfence e Wordfence Login Security: Um WAF (Web Application Firewall) completo e função 2FA (Two Factor Authentication)

Really Simple CAPTCHA: Provavelmente seu site terá um Formulário, e normalmente estes formulários são compatíveis com este plugin. Instale-o e ative-o.

IP Location Block: Caso seu site WordPress esteja sendo um alvo de várias tentativas de acessos ou login indesejados.

Prossiga com a configuração básica deste plugin

Disable XML-RPC: É um recurso que permite a transmissão de dados utilizando-se do protocolo HTTP e XML como codificação, portanto, caso você tenha APIs de integração, provavelmente perderá estes acessos ao instalar este plugin.

Caso prefira, altere o arquivo .htaccess através do FTP do seu site, adicionando o código abaixo logo no fim do conteúdo já existente no seu .htaccess:

# Block WordPress xmlrpc.php requests
 <Files xmlrpc.php>
 order deny,allow
 deny from all
 allow from xxx.xxx.xxx.xxx
 </Files>

Blackhole for Bad Bots: Este plugin simples visa bloquear os Bad Bots e gerenciar os Bots de mecanismos de pesquisa. Não é tão necessário quantos os outros, mas é uma boa opção para segurar as tentativas maliciosas.

É importante lembrar que cada caso é um caso e não me responsabilizo por qualquer configuração incorreta ou site quebrado após a instalação de plugins aqui descritos. Faça-o por sua conta e risco.