Also wenn ich davon betroffen wäre, was ich noch nie war, würde ich zunächst mal versuchen herauszufinden, ob da wirklich ein Bot zugange ist oder jemand mit einem Gesicht vor dem Monitor sitzt. In Anlehnung an Wordpress Betreiber, die von dem Problem wirklich und noch viel mehr geplagt sind, verhält es sich bei Wordpress zumeist so, dass tausende von Bots den ganzen Tag nichts anderes machen als nach Hosts Ausschau halten, die beim Aufruf der wp-login.php keinen Fehler zurückgeben. Überträgt man das jetzt auf den Modified Shop übertragen, müsste man testweise die create_account.php umbennen, aber dabei nicht vergessen die filenames.php entsprechend zu ändern. Sofern dieses Script mit dem Timer im Einsatz ist, würde ich dieses vorzugsweise deaktivieren, weil das grad nicht weiterhilft, um das mit dem Umbennen der create_account.php testen zu können.
Wenn das schon mal zur Lösung beiträgt, ist es schon mal gut. Wenn nicht, würde ich dazu tendieren, dass hier kein Bot im Einsatz ist, sondern ein realer Bösewicht zu Werke geht. Bevor man dann aber was konkretes unternimmt, bräuchte man erstmal Feedback dazu. In Abhängigkeit dazu kommen dann schon noch vergleichsweise einfache, aber wirkungsvollere Vorschläge das zu lösen. Es liegt also an den Betroffenen das mal zu testen.