Por padrão, um usuário do WordPress pode fazer um número ilimitado de tentativas de login em um site WordPress.
Isso permite que qualquer pessoa tente adivinhar sua senha até acertar.
Para controlar isso, você precisa instalar e ativar o plugin Login LockDown.
Ele permite que você defina limites no número de tentativas com falha que um usuário pode fazer para fazer login.