Защита админки WordPress от перебора паролей

В интернете периодически наблюдаются массовые атаки на сайты, построенные на движке Wordpress. Злоумышленники с помощью большого ботнета пытаются подобрать пароли к админкам с помощью брутфорс-атаки. Вот и мой сайт начали атаковать с такой силой, что сервер не выдерживает нагрузки и периодически ложится.

REMOTE_ADDR выдаёт IP адрес сервера

На моём VPS сервере с Debian в связке Apache + nginx при попытке определения IP адреса пользователя из PHP при помощи переменной $_SERVER['REMOTE_ADDR'], я получаю IP адрес самого сервера, на котором запущен PHP.