Таких ботов на самом деле довольно много. Пытаются как я понимаю войти в систему подбором точки входа и паролей. И спамеры кстати тоже также пытаются действовать. Я ставлю на все сайты honeypot для форм, и block_anonymus_link для комментариев.
Реально помогает.

Вообще то они постоянно долбят, вы наверное раньше не смотрели. Постоянно идут адреса типа admin, wp-admin, manager и т.д.,попытки войти через через js скрипты . Я, например часто использую maskedinput, так его постоянно пытаются вызвать, php-info, просто php и еще куча вариантов. Система достаточно устойчива к таким попыткам. проблемы возникают когда напишешь какой нибудь кривой код или дашь вход не тому кому надо. У меня знакомый подписал договор с сеошниками непонятными. Аж смешно стало, по этому договору они имели право делать все что хотели. Результат - пришлось восстанавливать сайт.
Конечно , есть боты , которые надо блокировать по ip. Посещала недавно китайская "байда", еще пиндосы были, знаменитая какая то фирма, тырит контент полностью, но у таких достаточно ограниченное число айпишников и они широко известны.
А такие боты - это как стихийное бедствие, устранить невозможно, только поддерживать в надлежащем виде систему.

Здесь /admin/reports/visitors блочить надо тех кто тупо долбится часто (от 100 до 1500 и выше), Обновить сайт до последней версии, поубирать с корня лишнее, просмотреть точки входа внимательно, моллом, каптча-рекаптча.