Te recomiendo y mucho esto: http://codex.wordpress.org/Hardening_WordPress
Léelo detenidamente, ve paso por paso, haciendo backups de tu base de datos, comprobando qué te permite hacer tu hosting…
Los pasos más básicos y que hago siempre primero en mis instalaciones son (más que nada se podría decir que lo siguiente es ofuscación u ocultación de información, es decir, no es infalible ni por asomo):
DB:
- Prefijo complicado base de datos;
- permisos base de datos: los justos para gestión, no administración;
Archivos y gestión WordPress:
- Proteger archivos sensibles: wp-config, setup…;
- siempre que sea posible: sacar de la raíz pública del sitio estos archivos sensibles y protegerlos contra lectura externa;
- cambiar directorios, es decir, cambiar estructura por defecto de WordPress;
- eliminar usuario admin, y no usarlo nunca para publicar;
Entre muchas otras prácticas.
Como decía, nada de esto es infalible, de hecho nada lo es, pero mientras más complicado se le ponga a posibles atacantes, mejor.
El Códex, los enlaces que recomiendan, blogs sobre seguridad… son una fuente de información de gran valor.
Y por supuesto, siempre: mantener el sistema actualizado: ¡tanto el remoto como el local! 🙂
Espero sea de ayuda 😉
—
Editado.
¡Ah!, se me olvidaba: siempre, siempre… tener mucho cuidado con los plugins que uno instala: revisar su código siempre, ver quién hay detrás, si se actualiza o no.
Personalmente no me gusta usar demasiados plugins y siempre que puedo intento hacer yo lo que necesite; como todo, esto tiene sus ventajas y muchas otras desventajas (esfuerzo extra, etc).
Por ejemplo, wp-content siempre lo dejo, como mucho, para lectura de archivos estáticos (y no cualquier archivo estático). Si hay plugins que necesitan acceder a scripts en sus directorios (por ejemplo algunos clásicos de miniaturas dinámicas, etc) simplemente no los instalo o busco una alternativa modificándolos.