1º – CONFIGURAÇÃO DO WP-CONFIG.PHP
A primeira segurança que você pode adicionar ao blogue começa na instalação. Ao configurar o ficheiro wp-config.php tenha em atenção as Chaves Únicas de Autenticação e o Prefixo das tabelas onde ficam o wordpress.

» Chaves Únicas de Autenticação
Aceda a https://api.wordpress.org/secret-key/1.1/ e substitua o codigo gerado pelo que está na imagem (dentro do quadrado vermelho):

» Prefixo das tabelas
O prefixo das tabelas onde fica o wordpress na base de dados é por defeito wp_. Altere este valor para outra coisa, por exemplo sitio_, as_, zap_… (O que interessa e utilizar outro texto no lugar de wp_)

2º BASE DE DADOS
» Base de dados só para o wordpress
Crie uma base de dados apenas para o WordPress. Não é aconselhável utilizar uma base de dados para várias aplicações, pois se houver um problema todos os dados que estão na base de dados podem ser afectados.

» Password do User de acesso a base de dados
Depois de ter a base de dados você tem que criar um user. Utilize uma password segura (as passwords geradas pelo cPanel são muito seguras) e garanta que o user criado tem acesso ilimitado a base de dados.

Se não sabe criar uma base de dados, visite esta página.

3º DADOS DO LOGIN NO WORDPRESS
Ao instalar o WordPress é gerado o user ‘admin’ e uma password. Faça o login com esses dados, crie um novo user com outro nome, com as permissões de administrador e utilize uma password segura. Depois volte a entrar com os novos dados e apague o user ‘admin’ criado na instalação do WP.

4º PERMISSÕES DOS FICHEIROS
As permissões devem de ser as seguintes: 755 para pastas e 644 para ficheiros ficheiros. Se as permissões forem 777 qualquer pessoa com más intenções pode modificar esses ficheiros.

Para alterar as permissões veja este tutorial.

5º PASTAS ‘DESPROTEGIDAS’
» Proteger pastas com Password
Você pode utilizar a ferramenta ‘Diretórios Protegidos com Senha‘ disponível no cPanel:

Esta opção permite adicionar uma password a um determinado espaço (pasta) do alojamento. Pode, por exemplo, adicionar uma password a pasta wp-admin e sempre que alguém quiser fazer o login no wordpress tem que inserir os dados criados por si e ainda os dados para fazer o login no wordpress.

» Esconder ficheiros de uma pasta
Se você criar uma pasta e colocar ficheiros dentro (imagens, etc…) podemos ver o que existe lá dentro. Exemplo: www.site.com/nome_da_pasta

Para ‘esconder’ estes ficheiros, crie um ficheiro index.html e envie-o para dentro da pasta pretendida.

ou

Adicione a seguinte linha de código ao ficheiro .htaccess:
Options -Indexes
Basta alterar images pelo nome da pasta.

6º OUTRAS DICAS
» Instale o Plugin WP Security Scan e veja quais são as falhas de segurança do seu Blogue;
» Mantenha o WordPress Actualizado;
» Mantenha todos os plugins actualizados;
» Não forneça a password a ninguém;
» Utilize uma password diferente para os seus blogues;
» Faça backups (copias de segurança) dos ficheiros e da base de dados do seu blogue.

Espero que este post tenha sido útil