Читал недавно статью в блоге LifeHacker, как инженер Google, Мэтт Каттс (Matt Cutts) дал три простых совета, как сделать блог на основе Wordpress более безопасным:

1. Первое, что сделал Мэтт, это запретил посторонним даже пытаться вводить логин/пароль. Для этого он создал файл .htaccess в директории /wp-admin/ следующего содержания:

AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName “Access Control”
AuthType Basic
order deny,allow
deny from all
# в белый список добавлен IP-адрес дома
allow from 64.233.169.99
# в белый список добавлен IP-адрес работы
allow from 69.147.114.210
allow from 199.239.136.200
# IP-адрес в Кентуки; Мэтт удалит его, когда вернется
allow from 128.163.2.27

Это правило разрешает доступ к админке только пользователям с разрешенным IP. Правда, нужно иметь в виду пару моментов. Не у всех может быть постоянный IP, он может быть и динамических. Кроме того, блог зачастую ведут несколько авторов.

2. Мэтт создал пустой файл index.html в папке wp-content/plugins/. Это позволяет скрыть данные об установленных у вас плагинах, ведь зачастую они сами могут содержать уязвимости.

3. Подпишитесь на ленту блога разработчиков (http://wordpress.org/development/feed) и устанавливайте каждую новую версию, каждый патч. В противном случае, блог будет открыт к атакам.

Рекомендую послушатся советов разработчика ;-)