Em primeiro lugar sabemos que não existe nada 100% mas com essas dicas vamos evitar muitas dores de cabeça.
1) Não utilizar o prefixo das tabelas do wordpress como WP_ que é o padrão.
mude para no minimo 4 caracteres, Não utilizar senhas faceis como login admin e senha admin.
na hora de criar seu wordpress não utilize o usuario admin crie outro usuario.
a senha deve ter no minimo 15 caracteres incluindo numeros, letras e simbolos.
recomendamos utilizar um gerador de senhas online como esse http://www.geradordesenha.com.br/
2) Não utilizar o link padrão de login do wordpress. Exemplo: seusite.com.br/wp-admin
ou wp-login
mude o link para outro como exemplo seusite.com.br/entrar
3) Desabilitar o acesso pelo navegador atraves da pasta wp-includes
seusite.com.br/wp-includes
se o hacker tiver acesso a pasta includes pelo navegador ele pode invadir seu site facilmente.
4) proteger arquivos como .htacess, wp-config, wp-install, wp-db
5) Colocar o sistema de capcha em formularios para evitar a invasão pelo formulario de contato,
habilitar o capcha tambem na pagina de login
6) identificar os codigos maliciosos em temas ou no proprio wordpress.
vamos citar os codigos maliciosos que atualmente são usados no wordpress, para invadir ou roubar informações.
exec, eval, readfile, shell_exec, system, file, fopen, popen,escapeshellcmd,eval base64, eval 64, eval cod.
7) Desative a execução de PHP no diretório uploads. Isto impedirá que o carregamento de scripts mal-intencionados para uploads.
8) Protega o banco, a proteção pode ser feita com um plugin que vamos citar no final.
9) Configure um limite de tentativas de logar no sistema. limite até em 3 tentativas, passando disso o usuario será bloqueado.
10) evite a instalação de muitos plugins, pois a maioria dos plugins não são confiaveis
muito cuidado com temas que não são originais, pois eles podem conter codigos maliciosos que podem estar roubando suas informações.
Links para download dos plugins gratuitos que utilizamos em todos os sites wordpress que desenvolvemos, e que até o presente momento tem funcionado perfeitamente.
https://wordpress.org/plugins/google-captcha/
https://wordpress.org/plugins/bulletproof-security/
https://wordpress.org/plugins/better-wp-security/
capcha do google
https://www.google.com/recaptcha/
Plugin de backup do wordpress
https://wordpress.org/plugins/backwpup/