https://wordpress.org/plugins/wordfence/ ставите блокировку после 3 попыток неправильного ввода на 20 мин, второй раз на сутки и сразу на сутки если не верное имя пользователя(это по желанию)
капчу обязательно
вход в панельку логина перенесите
силу пароля проверяйте при регистрации и при изменении
оповещение настройте при попытке ввести пароль 3 раза на мыло
из более радикальных можно через смс токен передавать на вход или через соц сети вход настроить(их сложнее взломать в разы)
Средний
