Osobně bych to vůbec neřešil, možná bych plugin iThemes Security raději deaktivoval a smazal. WordPress je bezpečný sám o sobě a pokud nepoužíváte zastaralé či “kradené” pluginy, tak by se nemělo nic stát. Tyto útoky probíhaly určitě i před aktivací tohoto pluginu, jen jste o nich prostě nevěděl :-) Je to standardní postup robotů, že se zkusí přihlásit s nějakou databází nejpoužívanějších hesel a prostě to budou stále občas zkoušet. Nemá cenu je nějak blokovat, jen musíte mít bezpečné heslo a nic se nestane. Pokud tyto útoky vadí hostingu, tak by se o to měl sám postarat… Bezpečnostní pluginy nepoužívám (pouze je někdy zkouším, když někomu čistím web a hledám s nimi napadené soubory), protože si myslím, že způsobují více škody než užitku. (Ne)bezpečnost WordPressu a nutnost dodatečných pluginů je jedním z rozšířených mýtů o WordPressu. Pokud se o tuto problematiku zajímáte a chcete to řešit, tak můžete pluginy zkoušet a nastavovat, ale pokud chcete mít jen web a starat se o obsah, tak je to zcela zbytečné…
Pokud chcete mít jistotu, že robot heslo neodhalí, tak zbývá třeba dvoufaktorová autentizace (jak doporučil @kurt). Když se budete chtít přihlásit, tak většinou dorazí notifikační email (či SMS) s kódem, který ještě musíte zadat (a robot se k němu nedostane)…
Uživatelské jméno, u kterého může robot zkoušet zadávat různá hesla, lze zjistit velmi jednoduše, máte ho většinou zveřejněné někde na webu (třeba jako autora příspěvků).