Warum ist das so? Und was kann ich ändern, damit es klappt?

Keine Ahnung. Um das zu wissen habe ich zu wenig gesehen.

Aber das hier:

<Files wp-login.php>

ist Unsinn, weil sich die meisten Angriffe auf Skripte beziehen, welche mit diversen Plugins im Ordner /wp-admin/ einziehen und nicht die eigentliche wp-login.php angreifen.

Das

AuthName "Wordpress Login"
  AuthType Basic
  AuthUserFile /anonymisierter/pfad/zur/.htpasswd
  Require valid-user

also nach ~/wp-admin/.htaccess umziehen.

Jörg Reinholz