Hallo Jörg,

Warum ist das so? Und was kann ich ändern, damit es klappt?

Keine Ahnung. Um das zu wissen habe ich zu wenig gesehen.

Was könnte ich an Informationen noch hinzufügen?
Zugriff auf das Error-Log habe ich leider nicht.

Aber das hier:

<Files wp-login.php>

ist Unsinn, weil sich die meisten Angriffe auf Skripte beziehen, welche mit diversen Plugins im Ordner /wp-admin/ einziehen und nicht die eigentliche wp-login.php angreifen.

Das

AuthName "Wordpress Login"
  AuthType Basic
  AuthUserFile /anonymisierter/pfad/zur/.htpasswd
  Require valid-user

also nach ~/wp-admin/.htaccess umziehen.

Davon wird auf diversen Seiten abgeraten, weil scheinbar keine saubere Trennung zwischen der Blog-Oberfläche und dem wp-admin Verzeichnis gibt.

Im Moment geht es nur darum, Bruteforce-Attacken auf den Login zu unterbinden.

Viele Grüße
Erik