in der Einstellung 1574 kannst du festlegen wie oft der Kunde den Login versuchen darf, dazu muss aber das recaptcha aktiv sein.
Ich habe die Einstellung noch nicht selbst getestet.
Besser wäre hier eine fest implementierte Sperre und auch eine Benachrichtigung für den Kunden, dass da was nicht rund läuft.
Theoretisch könnte man dies wenn man Fail2ban hat auch über die Logeinträge feststellen und dem User dann eine 10 Minütige pause gönnen.