Настройки плагина All In One WP Security

где взять blacklist

Элементарно!
1. Обязательно поменяйте стандартный логин аdmin на другой
2. Настройте блокировку входа при неверном вводе пароля или логина
3. Настройте высылку на свой email уведомлений о неверных попытках входа. Будете получать такие уведомления

Уведомления блокировки: Событие блокировки произошло из-за слишком большого числа неудачных попыток входа или неверноe имя пользователя:
Username: admin
IP Address: 88.250.29.91
IP Range: 88.250.29.*

Копируете диапазон IP злоумышленника: 88.250.29.* и вставлете в черный список. По одному адресу в строку.

Я стал делал так, получая в день кучу подобных уведомлений, в которых обнаружил постоянно повторяющиеся попытки входа в сайт с одних и тех же, или очень похожих IP адресов.

Но после изменения стандартного URL страницы входа на произвольный,(эта возможность появилась в плагине недавно) поток уведомлений полностью прекратился!

Ради интереса с помощью севиса http://www.geoiptool.com/ru/ можно узнать географию злоумышленников. Но, по большому счету это всё ерунда, так как вы знаете, что при желании можно многими способами «замаскировать» свой IP. Однако всё равно интересна гео-статистика!
Судя по полученным мною уведомлениям о болокировке гео-рейтинг хакеров таков в порядке убывания:
1. Китай и Ю.Корея
2. Украина
3. Россия
4. США и Канада
5. Остальные страны (европейские) — значительно реже.

Но меня больше интересует другое! Кому и зачем надо пытаться взломать совершенно не раскрученные, рядовые, ни чем не выдающиеся и личные сайты и блоги?

Если вы имеете ввиду конкретно «юзер-агентов» — то в их черный список уже по умолчанию внесены все основные угрозы и этого, ядумаю, вполне достаточно.