Я вижу несколько вариантов
1. Пусть комментируют не зарегистрированные юзеры.
Тогда регаться им не надо будет, достаточно на форму комментария поставить гугл рекапчу (или его же invisible каптчу)
А страницу wp-login.php закрыть на уровне пароля сервера (htpasswd файл)
2. Если юзерам для комментирования надо логиниться, то тут никак не ограничишь - ус-ва у всех разные - значит миллионы потенциальных комментаторов не отфильтровать только по 2-м и 3-м устройствам.
Тогда достаточно поставить плагин типа limit login attempt - если вы не шарите, как ограничить подобное на уровне сервера. Нагрузка будет конечно больше - т.к. айпишники будут подсчитываться ВП, а не сервером.
Но это лучшее решение.
Я даю 3 попытки для одного ip и блочу на час. И второй залет блочу уже на 2-е суток. Герои спустя месяц прописываются на постоянку в htaccess.
Но! Тут не надо параноидально бояться - "вот юзер с ролью подписчик попадет в мою админку..."
Ну попадет он туда - но его права настолько низкие, что он ничего не сможет сделать плохого. Вот таблица прав и привилегий
https://wp-kama.ru/function/current_user_can
Хотя есть простенькие сниппеты, которые позволяют не пускать с определенной ролью в wp-admin область
И пусть себе комментируют.
Плагин WP-Recall ограничивает доступ по роли в админку. Под него также есть сниппет, чтобы отключить ВП регу и пользоваться регой из плагина. А файл wp-login.php можно вообще закрыть. Или дополнение, которое капчи туда вписывает и меняет путь к wp-login.php - совместно с отключенным файлом wp-login.php - это хорошая защита. Комментировать и писать записи юзеры могут из фронтенда.
Проблемы для ВП я вообще не вижу - ну долбятся боты подбирая пароль и логин админа. Даже зная логин админа, если у админа стоит пароль уникальный для этого сайта (а не один пароль на 10 сайтов) и он из минимум 12-ти символов, содержит цифры, буквы в регистре и спецсимволы - ботам понадобится 34 тыс лет чтобы подобрать его
https://howsecureismypassword.net/
Вот и думайте