1. Można by pisać wiele bo o na wiele aspektów należy zwrócić uwagę. Już przy samej instalacji należy stosować mocen hasła, zadbać o uprawnienia plików na serwerze czy pamiętać o zmianie domyślnego prefixu bazy danych. Są to podstawowe i zarazem konieczne kroki o których należy zawsze pamiętać o których szerzej możemy przeczytać w tym artykule http://mojeprogramy.com/zabezpieczenie-wordpress

2. Chciałbym jeszcze wspomnieć o jakości kodu i tym samym zmniejszenie ilości potencjalnych dziur naszego WordPressa. Należy mieć świadomość, że autorzy wtyczek czy szablonów ogólnodostępnych (nawet z oficjalnego repozytorium https://wordpress.org/themes/) mogli nie do końca zadbać (mimo najszczerszych chęci) czy wiedzy (nie wiemy jaki programista pisał dany kod i jakie ma doświadczenie) o to aby dana wtyczka czy szablon był 100% bezpieczny. Dlatego należy kierować się przede wszystkim zdrowym rozsądkiem w wyborze, instalować tylko najbardziej przydatnych wtyczek (w malej ilości) i te od sprawdzonych autorów (np. według przyznanych ocen czy data ostatniej aktualizacji – przykładowe zestawienie http://whatwpthemeisthat.com/top-plugins.html , https://wordpress.org/plugins/browse/top-rated/).

3. W kolejnym kroku mogę szczerze polecić wtyczkę All In One WP Security – przy dobrej konfiguracji zabezpiecza moim zdaniem >90% przypadków ataków na jakie narażona może być strona www uruchomiona na WordPressie:

  • backup .htacces + wp-config
  • wprowadzenie mocnych haseł
  • wprowadzenie limitu logowań
  • kontrola przy aktywacji nowego profilu użytkownika
  • zmiana prefixu bazy + automatyczna kopia bazy co jakiś czas
  • kontrola praw dostępu do newralgicznych plików wordpress-a
  • wyłączenie edytowania plików szablonu z poziomu panelu wordpress
  • stosowanie dodatkowych reguł w .htacces poprawiających bezpieczeństwo
  • blokowanie hotlinkowania
  • zmiana logowania z /wp-config.php na własny np. na /logowanie

Jako można dodatkowo zabezpieczyć WordPress korzystając z All In One WP Security + Redirection opisano tutaj http://mojeprogramy.com/blokwanie-zakresow-ip