Для защиты сайта на Wordpress рекомендую следующее:
1. Файл wp-config.php вынести на уровень выше (в родительскую папку). Wordpress его автоматически найдет там. Также проверить права доступа к нему.
2. Установить плагин All In One WP Security и выполнить все его базовые рекомендации (он проверит правильность прав доступа к файлам, включит ограничение на подбор пароля и блокировка скажем после 3 неудачных попыток).
3. Защитить папку /wp-admin паролем. Тогда не зная пароля никогда не получить доступ к админке Wordpress'а. Это пожалуй самая важная мера безопасности.
4. Регулярно обновлять Wordpress, темы, и все плагины. Это тоже очень важно.
5. Ну и конечно достаточно сложный пароль администратора, а имя желательно не admin, а что-то другое.
С этими мерами сайт будет взломать намного труднее.