У меня для в хода в админку стоит капча, также при входе на страницу авторизации страница тебя через кодированный javascript редиректит на саму себя и отдает куку.
Сложная задача для брутфорсера: отрабатывать кодированный жабаскрипт, принимать и отдавать куки и еще при этом самописную все время меняющуюся(у меня папочка с шрифтами и рандомные настройки искривлений и зашумлений) капчу уметь распознавать.