Wenn es nur um spezifische Dateien geht, geht auch das Apache Modul mod_maxminddb und die GeoLite2 Datenbank um die Zugriffe nur von Deutschland (oder beliebig anderen Ländern) aus zuzulassen. Das reduziert die Versuche ebenfalls innerhalb kurzer Zeit erheblich. Allerdings sollte man natürlich wissen von wo aus die eigenen Kunden zugreifen.
.htaccess Beispiel für Wordpress:
<IfModule mod_maxminddb.c>
MaxMindDBEnable On
MaxMindDBFile DB /usr/share/GeoIP/GeoLite2-Country.mmdb
MaxMindDBEnv MM_COUNTRY_CODE DB/country/iso_code
SetEnvIf MM_COUNTRY_CODE ^(AT|CH|DE) AllowCountry
</IfModule>
<IfModule mod_authz_core.c>
<Files wp-login.php>
Require env AllowCountry
</Files>
<Files xmlrpc.php>
Require all denied
</Files>
</IfModule>
# BEGIN WordPress
# Die Anweisungen ...
Zugriffe auf wp-login.php aus deutschsprachigen Länder (DE, AT, CH) werden zugelassen.
Zugriffe auf xmlrpc.php komplett abgelehnt.