Это уже разговор ни о чем.
Топикстартеру было предложено популярное и паранойя-free решение.
На что и рассчитывают злоумышленники. Вы не представляете какие деньги делают из личной информации.
В каком смысле как долго? Как долго до вас не доберутся? Ну да, лотерея)
Вы светите пароли - вас сниффят.
Светить то можно, но нужно ли?
Virtial Private Network (VPN)!
На каждом смартфоне, планшете и ноутбуке естественно это есть. Если не IPSec/L2TP То старый добрый PPTP точно.
Организовываете на VPS свой VPN сервер и подключаетесь к нему с любого публичного wi-fi не опасаясь что уведут ваши пароли.
Да, прям как на вашей аватарке)
http://nixcraft.com/web-servers/17537-nginx-block-files-extensions-deny-all.html
http://winginx.com/htaccess
location /file.php { deny all; allow env=good_bot;}
С целью получить доступ к административной панели. Что они дальше сделают - угробят сайт или уведут БД всех пользователей включая почтовые адреса, это уже не известно, хотя последнее чаще всего.
Лучше создать первичную HTTP аутентификацию на файл wp-login.php средствами PHP
http://php.net/manual/en/features.http-auth.php
Причем расположение файла менять не нужно.
Это всего лишь база. Где-то писали что бан азиатских подсетей на время атаки снижала эту активность.
В качестве неожиданности можно создать первичную HTTP аутентификацию на файл wp-login.php