Jag kan även tipsa om
http://wordpress.org/extend/plugins/two-factor-auth/ som mailar dig en engångskod som måste fyllas i vid inloggning.
Inte äkta två-stegs-login, men duger gott och väl för att bots inte ska kunna logga in även om du har admin/admin som inloggningsuppgifter.