Cambiar la url del admin es una opción, el tema de hacer eso es, que cuando quieras tener una actualización a tu sitio, es probable que no se actualize correctamente o arroje un error, por ende debes volver a como estaba para actualizar.
Lo otro es ocupar un plugin que te de seguridad. Yo uso wordfence, y me es bastante efectivo, ya que tiene un modo de bloqueo al admin.
-Si ingresas un nombre de usuario q no esta registrado, te banea por el tiempo que estimes conveniente, desde 1 minuto a horas, dias, etc… (Ejemplo si usas admin)
-Puedes restringir el numero de intentos al acceder al admin, también con la posibilidad de banear el ip.
-Puedes denegar la información, sobre si el nombre de usuario o contraseña es incorrecto.
-Puedes bloquear por ip y rangos de ip.
-La versión pagada te permite bloquear por país.
-Te permite hacer scan a tu sitio comparando con los archivos con los del repositorio, y ademas te deja modificarlos si ve que hay un error o vulnerabilidad.
-Tiene un live traffic, que da información de quien revisa la pagina, de donde proviene y si ingresa a una url que no existe (404), buscando algun archivo que permita upload para infectar o que lo otro común es spam.
En fin es bien completo, tiene firewall y es bien intuitivo, lo recomiendo 100%