In der Praxis werden Brute-Force Angriffe auch dadurch erschwert, dass die Zahl der Versuche begrenzt ist und nach einigen erfolglosen Passworteingaben der Zugang gesperrt wird oder weitere Versuche erst nach einer Wartezeit möglich sind.[2] Trotzdem wurde im September 2014 bekannt, dass z. B. Apple in seiner iCloud längere Zeit solche einfachen Maßnahmen nicht implementiert hatte und zumindest einfache Brute-Force Attacken möglich waren
Man muss den obigen Satz nur anders herum lesen, hätte Apple in seiner iCloud eine vergleichbare Wartezeit eingebaut (die hier allein schon durch die Implementierung gegeben ist), wäre eine Brut Force Attacke nicht möglich gewesen.
https://de.wikipedia.org/wiki/Brute-Force-Methode
Letztendlich ist es doch Haarspalterei, ob man nur "Brut Force" als schlechten Algorithmus definiert, oder ob man (wie hier!) von einer "Brut Force Attacke" spricht, die natürlich zum Ziel hat, in einem sinnvollen Zeitraum (der kann gerne auch Wochen betragen) eine Lösung zu präsentieren. Um letzteres geht es hier. Die Abwehr gegen eine Brut Force Attacke besteht im Prinzip grundsätzlich darin, die Attacke zu schwächen, in dem man die Anzahl Versuche in ein zeitliches Fenster einschränkt, was die Erfolgsaussichten so stark minimiert, dass die Attacke als gescheitert anzusehen ist. Können wir uns vielleicht darauf einigen? Und eine Attacke auf wp-login ist von vorneherein zum Scheitern verurteilt, weil die infrastruktur (Netzwerk, Apache usw.) viel zu langsam ist, um eine für den Erfolg notwendige Anzahl Versuche in einer menschlich sinnvollen Zeit zu absolvieren. Das Wikipedia spricht in diesen Fällen davon, dass solche Wartezeiten eine Brut Force Attacke nicht ermöglichen, dieser Formulierung würde ich mich anschließen.