Меня брутят? Помогите новичку плз

Я поставил в конфиг nginx такой код и забил

location ~* /(wp-login\.php|xmlrpc\.php|administrator|admin\.php) {
    default_type text/html;
    set $humantest 0;
    if ($http_cookie !~* "humans=checktest") {
        set $humantest 1;
    }
    if ($args ~* (callback|logout|lostpassword)) {
        set $humantest 0;
    }

    if ($humantest = 1) {
        return 200 "<html><body><script>document.cookie='humans=checktest;path=/';location.reload();</script></body></html>";
    }
    error_page 404 = @fallback;
}

Если на сервере стоит ISP Manager, то в /usr/local/ispmgr/etc/nginx.inc

У меня шаред-хостинг)

Как я понимаю, я ничего не могу прописать в конфиг сервера)

Я пока заблочил через IP в htaccess следующими строками

Order Allow,Deny

Allow from All

Deny from 46.185.7.160, 37.115.195.161

Но он падла несколько раз ткнулся, потом с другого айпи долбить стал

Разрешите доступ к файлу только с вашего айпи и все

Атака по 1 запросу в минуту не должна создавать нагрузок.

Блочить в htaccess по каждому IP с котого брутят бесполезно. Уже давно по всем сайтам ходят пауки, которые ищут уязвимости в популярных CMS, либо брутят, пытаясь подобрать пароли к админкам. И IP с которых это происходит несчетное количество, даже если блокировать подсети

Порой, если это виртуальный хостинг, то большое количество таких ботов (а их будет становится все больше, как только ваш сайт проиндексируется) может сильно загрузить ваши сайты. В свое время это было для меня серьезной проблемой, но я переехал на VPS на hetzner. ПРоблем с нагрузкой вроде больше нет (тьфу-тьфу-тьфу :) ). Хотя бруты и плохие пауки постоянно делают свою грязную работу, судя по логам.

Еще способ блокировать админку через .htaccess. Запретить доступ всем кроме своей подсетки IP. К примеру, для Joomla это надо сделать в папке www/example.ru/administrator/ Но это неуниверсальное решение. Если админкой пользуетесь не только Вы это не выход.

Второй способ поставить антибрут плагины для CMS или вообще для сервера.

---------- Добавлено 28.03.2016 в 14:40 ----------

По одной атаке в минуту обычно не брутят ) У меня например по логам по несколько раз в секунду юывает. А посколько сайт может быть не один, то и того больше... Это конечно не DDOS, но если хостинг слабый, то перегрузка гарантирована

На слабом хостинге даже наплыв ботов ПС может создать видимость брута. Почти для любых ЦМС можно сделать паролирование папки админки или скрыть админку переименовыванием. Это хорошо поможет от брута. Если конечно на главной нет формы для входа пользователей. В таком случае надо решать вопросы с капчей. На шареде вы от брута больше ничего не придумаете