https://t3n.de/news/wordpress-sicherheit-diese-457802/

https://pressengers.de/sicherheit/

https://codex.wordpress.org/de:WordPress_absichern

den Zugriff auf die Datei /wp-admin/admin-ajax.php per Referrer-Check mithilfe eines Eintrages in der .htaccess Datei einschränken, damit kein direkter Zugriff von außen mehr möglich ist.:

RewriteEngine On
RewriteCond %{HTTP_REFERER} !^meine\-schickeseite\.de [NC]
RewriteCond %{QUERY_STRING} (.*)admin-ajax.php(.*) [NC]
RewriteCond %{REQUEST_METHOD} ^(POST)$ [NC]
RewriteRule .* - [F]

Dies würde POST-Zugriffe auf URL´s blockieren, welche admin-ajax.php enthalten, jedoch nicht Ihre Domain im Referer tragen.
Sie müssten aber prüfen, ob die Regel mit anderen in der .htaccess Datei enthaltenenen Regeln kollidieren könnte und ob Wordpress den Referer überhaupt korrekt setzt.   (https://de.wikipedia.org/wiki/Referrer)