В защите возможны превентивные меры, но чаще – ищут меры «постфактум», после взлома блога, магазина, тематического сайта или портала. Следует помнить:
• нет стопроцентной защиты (как и хостинга), все можно взломать, важно быть бдительным всегда;
• многое в обеспечении безопасности зависит от непродуманных действий самого владельца (администратора) – это и нерелевантные пароли, и передача прав доступа широкому кругу, и установка скриптов неизвестного источника и др.;
• выбранный некачественный хостер, но имея в виду, что хостер не станет заниматься безопасностью конкретно вашего веб-ресурса, это ваша прерогатива;
• уязвимости сайта («дыра» кода) образуемы не столько «из WordPress», сколько «из плагинов, скриптов».
Если хостинг-провайдер «качественный», имеет соответствующие опции панели управления, то для WordPress-реализации сайта можно рекомендовать устанавливать:
• при входе в аккаунт хостинга вторичную аутентификацию (по SMS, например);
• запрет FTP-входа всем IP, кроме своего;
• запрет доступа к вход-странице (файл wp-login.php) чужим IP-адресам, а если «свой IP» — динамический, при необходимости можно менять по FTP, с помощью файла .htaccess, но лучше узнать у хостера диапазон «своего IP», менять его при каждом входе в «админку» (или запастись VPN);
• запрет входа в «админку» CMS (wp-admin) всем IP, кроме своего (файл .htaccess);
• «блокировщик» многократного ввода (подбора) авторизационного логина (пароля);
• запрет доступа всем для конфигурационного файла CMS (wp-config.php);
• запрет выполнять скрипты, на внешний доступ к uploads, разрешить можно только загружать картинки;
• логин администратора нестандартный (задавать сразу логин с правами «админа», но отличный от «admin»);
• чекбокс «Любой может регистрироваться» («Параметры» — «Общие»), если нет необходимости в регистрации на сайте;
• блокировку доступа к xmlrpc.php, функционалу «пингбэков» (из-за уязвимости функции pingback);
• запрет редактировать файлы тем, плагинов из панели администратора по умолчанию (изменив wp-config.php);
• запрет на использование бесплатных тем – источников вредоносных кодов;
• ручную проверку файлов перед «заливкой» темы;
• плагины лишь популярные и с надежных ресурсов, например, с официальных ресурсов профессиональных разработчиков (меньше плагинов – меньше потребляемых ресурсов – быстрее «обращаем» сайт);
• режимы резервирования (например, плагин BackWPup), «выгрузки» файлов резервирования в Dropbox (BackWPup), проверки целостности архивов;
• плагин контрольных сумм (файлов), отслеживая добавление новых;
• плагин Antivirus автосканирования файлов темы на вкрапления.
И, наконец, советы давно известные: купить антивирус лицензионный, нормальный, проверять регулярно логи сервера (на входы в непубличную часть сайта), обновлять WordPress (плагины).