allgenl

Точных указаний что делать в этом случае нет, каждый сайт смотрится и решения там комплексные.

Блокировкой адресов может заниматься fail2ban без твоего участия.

Если что-то происходит каждый день и в одно и тоже время - первое что надо смотреть это крон в панели хостинга. Если там что-то есть то этот дырявый хостинг отправляется в мусорку и сайт переносится на reg.ru (никаких реклам, просто не вижу причин выбирать что-то кроме него)

На папки вордпреса идут запросы потому что скрипт комплексный.

Виной может быть нуленый плагин (или как там оно называется в этом овне), в админке есть проверка на целостность ее надо сделать в первую очередь.

1. Делаете дампы файлов и бд, разворачиваете их у себя локально
2. В кастомных сущностях (папки/файлы шаблона, компонентов) вычищаете все подозрительное, зараженное
3. В бд вычищаете все подозрительное
4. Локально разворачиваете чистый битрикс
5. Переносите свои кастомные сущности в чистую установку
6. Подключаете очищенную бд к сайту
7. Смотрите работу сайта

Если все ок, то переносите чистые файлы и базу на основной сервер.
Далее меняете доступы к админке, базе, хостингу (серверу).

Если не ок, то возвращаемся к п2