прячем wp-login.php от брутфорса

прячем средствами .htaccess

PARAM - заменяем на свой, например vhod
pustoj_fajl.php - по этому пути создаем пустой файл с этим именем

В результате при входе по адресу /wp-admin/ или wp-login.php будет отдаваться пустая страница
а по адресу wp-login.php?PARAM нормальная админка

здесь описано, как сделать с отдельным урлом