Det lyder som om du har forsøgt en del. Jeg anvender selv pluginnet fra iThemes Security og har selv haft lignende brute force angreb som varede i flere døgn. Og vist er det lidt skræmmende når ens sikkerhedsplugin blacklistet tusindvis af ip-adresser per dag.
Hvis du vælger at installere iThemes Security så kan du under "Advanced" vælge "Hide Backend" som giver dig mulighed for at gemme wp-login.php og wp-admin.php. Hæng mig ikke op på det, men jeg mener at "Hide Backend" også findes i gratis versionen. Måske har du en lignende mulighed i sucuri security?
Siden jeg gemte wp-login.php for et par år siden så har jeg ikke været udsat for brute force angreb. Held og lykke.
Ud fra vores erfaring så er det meget vanskeligt, at blokere disse login-forsøg helt, medmindre du selv har kontrol over serveren. Jeg vil anbefale du kontakter dit hostingselskab og hører hvis de evt. har nogle muligheder for, at hjælpe dig stoppe trafikken før den rammer dit website.
nu ved jeg ikke hvor meget kontrol du har over webserveren, men du kunne evt. hoste admindelen på en hel anden port end port 80.
f. eks port 2231 - det vil med ret stor sandsynlighed ikke være nogen der prøver denne port, med mindre de scanner, og det bliver typisk fanget af ISPen tidligt.