Falei há pouco da minha experiência com um hacker que alterou meu WordPress para mostrar seus anúncios de um site chinês. Felizmente não obteve sucesso mas tive que reforçar a segurança do WordPress. Veja aqui algumas coisas que eu li a respeito e fiz para deixar o WordPress mais seguro:

1) Atualize seu WordPress para a última versão. Dica básica mas que deve ser seguida a risca.

2) Tire a tag que informa a versão do WordPress do seu arquivo header.php:


3) Proteja a pasta dos plugins colocando um arquivo index.html vazio no caminho:

https://www.seudominio.com/wp-content/plugins/

4) Proteja seu arquivo de configuração wp-config.php alterando seu arquivo .htaccess.


# protect wpconfig.php

order allow,deny
deny from all

5) Altere seu arquivo robots.txt para evitar que motores de busca rastreiem a sua pasta wp-admin (porta de entrada para seu blog). Coloque a linha:

Disallow: /wp-admin/

6) Use o plugin Login LockDown para WordPress, desta forma a página de login de administrador do ficará mais segura.

7) Seus diretórios devem ter sempre permissão do tipo 755, arquivos do tipo 644. Nunca 777.

8) Atualize seus plugins regulamente. Basta ir na página de Plugins do WordPress que ele avisa quem tem uma nova versão.

9) Se o seu público alvo é apenas o Brasil, use o Firewall do seu provedor contra países como CHINA, RUSSIA, ROMANIA, ALBANIA, UKRAINE, NIGERIA… etc

10) Leia frequentemente o blog de desenvolvimento do WordPress pois lá contem todas as dicas e novidades sobre segurança.

Estas dicas foram reunidas de vários blogs que li como da Lorelle, Matt Cutts e outros tutoriais que li.