1. Держать сайт на VPS а не на хостинге.
2. Скрыть IP сервера, используя бесплатный сервис CloudFlare
3. Панель поставить Весту (у неё нет встроенного файлового менеджера, а значит взлом панели не даст доступа к файлам)
4. Почту держать на стороннем бесплатном сервисе, а exim4, dovecot, clamav-daemon, spamassassin в Весте отключить
5. Отключить в фаерволе Весты SSH и FTP и включать только по необходимости работы с файлами и работать через защищённый протокол
6. Регулярно менять пароли, которые должны быть сложные и со спецсимволами.
7. Меньше ставить всяких модулей - со временем в них рано или поздно обнаруживаются уязвимости
Это всё касается любых сайтов, не только на WP.
добавлено через 7 минут
Еще крайне желательно сменить порт доступа со стандартного на другой не занятый.
добавлено через 14 минут
Скрипт отслеживания изменений в файлах (например
) поможет узнать о взломе.