У меня на сайте организованы автоматические выплаты через мерчант. Сегодня поизошла кража 16 WMZ и 41 WMR. Анализ показал, что это возможно было сделать только получив доступ к базе данных. Как ее защитить? Как сделать так, что бы доступ к базе данных был только с определенного IP адреса? И защитит ли это от повторных попыток?

Доступ по-умолчанию и так только с локального адреса. Только толку от этого мало если на файлах с паролями права 644...
Почитайте http://ruweb.net/forum/viewthread.php?tid=225
Если что непонятно - спрашивайте.