No, deberías hacerlo antes...
Pq sino seguiria probando contraseñas sin problemas, la idea seria la siguiente
Código CODE:
Ver original1 Usuario / bot introduce user+pass
2 Compruebas los 5 últimos accesos erroneos
2.1 Si han pasado menos de 5 minutos
2.1.1 le muestras un error
2.2 Si no han pasado menos de 5 minutos
2.2.1 Compruebas que el usuario y pass sea correcto
2.2.1.1 Si es correcto, login normal
2.2.1.2 Si es incorrecto, lo guardas como acceso erroneo, y muestras error de usuario y/o contraseña
Esa sería la idea en general.
Y sino, añade un captcha ;)