Далее мы подготовили, по пунктам важные точки для защиты.

1) Директория она же папка wp-content.

Данная папка может содержать незащищенный скриптовы файл написаный на языке PHP, файлы эти могут быть использованы для нанесения вреда вашему сайту.
Решение: После инсталяции WordPress файлы PHP могут запускаться из папки wp-content. Проверка безопасности позволяет убедиться, что запуск файлов PHP в папке wp-content запрещен. Однако это действие может быть отменено на уровне файлов .htaccess или web.config. Также учтите, что после защиты папки wp-content могут перестать работать некоторые из ваших плагинов.

2) Директория она же папка wp-includes.

Папка wp-includes может содержать незащищенные файлы PHP, которые могут быть использованы для нанесения вреда вашему сайту. После установки WordPress файлы PHP могут запускаться из папки wp-includes. Проверка безопасности позволяет убедиться, что запуск файлов PHP в папке wp-includes запрещен. Однако это действие может быть отменено на уровне файлов .htaccess или web.config. Также учтите, что после защиты папки wp-includes могут перестать работать некоторые из ваших плагинов.

3) Конфигурационный файл wp-config.php.

Файл wp-config.php содержит параметры доступа к базе данных и другую конфиденциальную информацию. После установки WordPress файл wp-config.php может быть запущен. Если по какой-то причине отключена обработка файлов PHP веб-сервером, хакеры могут получить доступ к содержимому файла wp-config.php. Проверка безопасности позволяет убедиться, что несанкционированный доступ к файлу wp-config.php заблокирован. Однако это действие может быть отменено на уровне файлов .htaccess или web.config.

4) Права на просмотр папок..

Когда включен просмотр папок, хакеры могут получить информацию о вашем сайте (используемые плагины и т.д.). По умолчанию просмотр папок в Plesk отключен. Проверка безопасности позволяет убедиться, что просмотр папок на установке WordPress отключен.

5) Префикс баз данных. .

Таблицы баз данных WordPress имеют одинаковые имена во всех установках WordPress. Если в именах таблиц баз данных используется стандартный префикс wp_, то становится известна вся структура баз данных WordPress, и кто угодно может получить из них любые данные. Проверка безопасности изменяет префикс в именах таблиц баз данных на отличающийся от wp_. Будет включен режим техобслуживания, деактивированы все плагины, изменен префикс в конфигурационном файле и в базе данных, заново активированы все плагины, обновлена структура постоянных ссылок и затем отключен режим техобслуживания.

6)
Ключи безопасности..

Ключи безопасности WordPress (AUTH_KEY, SECURE_AUTH_KEY, LOGGED_IN_KEY и NONCE_KEY) обеспечивают шифрование информации, хранящейся в cookie-файлах пользователя. Хороший ключ безопасности должен быть длинным (от 60 символов), случайным и сложным. Проверка безопасности позволяет убедиться, что ключи безопасности созданы и содержат как минимум буквы и числа.

Права доступа к файлам и папкам. Если права доступа к файлам и папкам не соответствуют политике безопасности, эти файлы могут быть использованы для взлома вашего сайта. После установки WordPress папки и файлы могут иметь разные права. Проверка безопасности позволяет убедиться, что файл wp-config.php имеет права 600, остальные файлы — 644, а папки — 755.

7)
Имя пользователя ADMIN нельзя использовать для администратора..

Пользователь с правами администратора и именем пользователя admin, это самый простой способ, так как в WordPress нельзя изменить имя пользователя, для доступа к системе в качестве администратора злоумышленнику достаточно угадать только пароль. По Этому, можно создать другого пользователя, и выдать ему уровень администратора, с профиль ADMIN удалить. Проверка безопасности позволяет убедиться, что в системе нет пользователя с правами администратора и логином admin.

8)
Информация о версии..

Каждая версия WordPress имеет общеизвестные уязвимости. Поэтому доступность информации о версии вашей установки WordPress делает ее более легкой добычей для хакеров. Версия незащищенной установки WordPress показывается в метаданных страниц и в файлах readme.html. Проверка безопасности позволяет убедиться, что все файлы readme.html пусты и во всех темах есть файл functions.php, содержащий следующую строку: remove_action('wp_head', 'wp_generator');