Muita gente tem um blog movido a wordpress hospedado em algum provedor e a grande maioria usa as opções padrões de instalação.
O que é Ok para um blogger casual como eu mas uma temeridade para quem leva a vida internet serious business.

Medidas simples podem fazer a diferença entre deixar a porta aberta ou fechada (mas com a chave naquele esconderijo que você acredita que ninguém saiba).

A cyber policia é você mesmo

• As mais óbvias claro tratam de senhas. A senha do banco de dados não é algo que você precise memorizar pois provavelmente vai ser raro você acessar o console do banco, seja diretamente seja via phpMyAdmin. Portanto use uma senha complexa, de pelo menos 8 caracteres. Utilize um serviço de geração de senhas, há vários espalhados pela internet.
• Evite entrar, para tarefas corriqueiras, com o usuário administrador do WordPress. Acredito que desde o WP2.7 o usuário admin não é mais utilizado e na instalação é criado um usuário administrador. Não dê o nome de admin ou administrador para esse usuário. Use algo corriqueiro como o nome do seu cachorro ou algo bem esdruxulo. A partir dai você cria um novo usuário com permissão NO MAXIMO de editor. Use uma mais baixa se possível e for conveniente. Utilize uma senha bastante complexa para o usuário administrador que criar.
• Não deixe plugins que você não usa ativos. Alguns podem conter alguma falha não documentada e/ou não corrigida. Mantenha todos os plugins sempre atualizados. O WordPress tem uma ferramenta automática de verificação para os plugins hospedados no repositório deles. Caso você tenha algum plugin que seja de fora do repositório visite a pagina do desenvolvedor com frequência para checar atualizações. E não instale plugins de origem duvidosa. Se não estiver no repositório procure pela internet referencias e informações a respeito.
• O painel do WordPress é uma importante ferramenta de informação. Sempre que se logar dê uma olhada se o pessoal não publicou nenhum alerta de segurança.
• Utilize ferramentas como por exemplo o CloudFlare. Eles agem como um proxy reverso para seu conteúdo, provendo além de “distribuição global” de suas paginas alguns serviços básicos de segurança. Como o WordPress gera as paginas on demand não há grande vantagem na distribuição a não ser que use W3 Total Cache ou WP Super Cache mas adiciona uma camada de proteção ao seu blog, diminuindo a incidência de crawlers de botnets e outros acessos suspeitos.
• Não deixe os arquivos do wordpress na raiz do seu web server. Coloque em uma pasta nomeada criativamente. Não adianta você ter esse trabalho se deixar …/public_html/wordpress. O WP Codex tem um excelente artigo (em inglês) sobre como fazer isso. É bem simples e nem um pouco complicado.
• Modifique o local de upload de imagens e demais mídias. Não adianta você mudar os arquivos do wordpress se qualquer um poderá clicar com o botão direito e ver o caminho completo do arquivo no seu servidor. Se a instalação for padrão provavelmente as imagens estarão em …/wp-content/uploads. Crie uma pasta na raiz do webserver com o nome de imagens ou qualquer outro que prefira. Aqui já pode ficar um pouco complicado pois você precisa colocar o caminho da pasta no servidor, algo como /home/public_html/imagens e também a URL para o caminho, algo como http://seudominio.com/imagens. 
  Caso a instalação seja nova a configuração termina ai.
  Mas se já for um blog que esta no ar a algum tempo você precisa acertar a URL em todos os posts. O modo mais fácil de fazer isso é diretamente no banco. Baixe e instale o plugin “Search and Replace”. A informação estará na tabela com as informações do post. Procure por “http://seudominio.com/wp-content/uoloads” e substitua por “http://seudominio.com/fotos” ou qualquer que seja a informação que você colocou na configuração de URL. O processo não é traumático mas lembre-se que estará manipulando o seu banco de produção.
• Por falar em banco, evite utilizar o prefixo padrão sugerido pela instalação do wordpress (wp_) o substituindo por qualquer outro de sua preferencia. Se você estiver fazendo uma instalação nova isso é simples, é apenas mudar uma opção na tela de instalação. Já se for um banco de produção você precisa alterar o nome das tabelas no banco e editar o arquivo wp-config.php. Nesse caso a não ser que você seja experiente não vale a pena o risco.
• Se você for mesmo adepto do problogismo way of life, considere comprar um certificado SSL. Desse modo você pode configurar sua instalação para sempre trafegar dados sensíveis, como login e senha por exemplo, por uma conexão segura. Quando você se loga e trabalha no WordPress por uma conexão sem ser segura seu login e senha trafegam na rede sem proteção, o que os torna alvo fácil para sniffers em sua rede ou host. Além da obtenção do certificado você precisa fazer algumas alterações no arquivo wp-config.php para forçar o SSL nessas situações.
• Mude as permissões de arquivos e pastas de acordo com a necessidade. Por exemplo você não precisa que o repositório de mídias de seu blog tenha permissão para rodar executáveis.
• Faça backup do seu banco e arquivos com regularidade. Se possível crie um blog espelhado em sua maquina local, mantendo-os sincronizados. Isso também é útil para fazer experimentação em layouts ou plugins. Um outro modo simples e barato de ter um backup é criando uma conta no wordpress.com e exportando seus posts e depois importando nessa conta. A mantenha “fechada” para não ser acessível a crawlers ou outras pessoas.

Seguindo algumas dessas dicas você deixará sua instalação de WordPress mais protegida. Se você tiver mais alguma dica, não hesite em coloca-la ai nos comentários.

Caso queira fazer essas implementações ou mesmo outras e não tem a habilidade tecnica ou tempo para isso, fale comigo e vemos no que pode dar.

Autor: Raul

Manter ao abrigo da luz e longe de odores fortes. Não empilhar. Data de validade impressa no rotulo.