В интернете часто можно увидеть, что сайты на WordPress уязвимы для взлома.

Но дело в том, что практически ВСЕ саты в той или иной степени уязвимы для взлома, если не позаботиться об их защите.

Поэтому стоит помнить о правилах безопасности для владельца сайта.

1. Не заходите на в админ-панель или на ftp в публичных местах, данные, которые вы вводите, через публичный Wi-Fi, могут быть перехвачены.
2. Не используйте небезопасные сети или соединения.
3. Используйте надежный хостинг.
4. Используйте сложные пароли для входа на сайт. Установите рекомендуемый минимум сложности паролей для других пользователей сайта.
5. Давайте доступ в админку, к хостингу и FTP только тем, кому вы доверяете. Создавайте дополнительные доступы с ограниченными правами для малознакомых исполнителей, удаляйте эти доступы сразу по проверке работ.
6. Настройте бэкап сайта.
7. Регулярно обновляйте Вордпресс, плагины и темы.
8. Не одобряйте сомнительные комментарии с бэклинками.
9. Используйте популярные плагины с большим количеством установок и частым обновлением, не используйте скачанные взломанные платные плагины и темы.
10. Установите SSL сертификат на сайт.

Кроме того я рекомендую устанавливать на сайт дополнительно плагин безопасности, включающий файервол и сканер изменений.

Лично я использую плагин All In One WP Security

Настройки довольно понятны даже для не продвинутого пользователя, на русском языке.

Плагин позволяет защитить сайт от брутфорсинга, закрыть от редактирования файлы и папки, имеет файервол и сканер изменений на сайте.

Просто установите его на сайт и пройдитесь по рекомендованным настройкам.