htaccess file met restrictie ip op wp-admin werkt niet goed

Ik heb mijn wp-admin folder afgeschermd met een htaccess-file met daarin de volgende code
# Limit logins and admin by IP
<Limit GET POST PUT>
order deny,allow
deny from all
allow from ‘mijn ip-adres’
</Limit>

Maar dit werkt kennelijk toch niet, want ik krijg dagelijks van Wordfence Security mails dat weer eens iemand uit meestal Oekraïne tijdelijk is geblokt omdat hij te vaak het verkeerde password heeft gebruikt. Volgens mij behoort die hacker met deze htaccess-file niet eens zover te komen.
Weet iemand hoe dat zit? Is mijn htaccess-bestand niet correct of hebben hackers intussen een tool om deze beveiliging te omzeilen? Wanneer ik namelijk bij mijn zwager of schoonvader wil inloggen, krijg ik keurig de mededeling dat zulks niet is toegestaan, zoals het met dit htaccess-beatand ook hoort. Maar die hackers krijgen vreemd genoeg nog de kans om een password in te vullen. Rara hoe kan dat?