wplockedsOk, eigentlich müsste es Cracker heißen, denn Hacker sind weniger schlimm, da sie aus reinem Interesse und ohne Schadensabsicht in ein System eindringen.
Seine WordPress Installation kann man ein wenig absichern, indem man einen Hinweis auf das verwendete CMS aus den Meta-tags entfernt, die Dateirechte einschränkt, ein anderes Prefix als wp_ für seine Datenbank verwendet und natürlich immer die aktuelleste Version verwendet.
Bei der Installation oder Update sollte man noch darauf achten, in seiner wp-config einen secure key anzugeben (oder per Plugin einzustellen). Wenn man sich schonmal von unterwegs einloggt, ist ein verschlüsselter Login und eine Begrenzung der Anmeldeversuche gegen Bruteforce Attacken sinnvoll.

Dabei helfen folgende Plugins:

  • Sicherheitslücken entdecken und schließen. WP Security Scan Autor // wp.org (achtung, in WP 2.8.2 wurden in drpsp01_user nicht alle Werte umbenannt, weshalb ich mich nicht mehr anmelden konnte)
  • Login Datenübergabe verschlüsseln mit Chap Secure Login Autor // wp.org
  • Einen persönlichen Login wie z.B. www.xyz.de/login statt /wp-admin nutzen mit Stealth Login

Im Blog von Sergej Müller werden noch ein paar gute Tipps zum Absichern des Adminbereichs gegeben:

  • WordPress nicht direkt in den www Root installieren (auch der Übersichtlichkeit halber)
  • wp-config.php per .htaccess sperren (.htacces ins gleiche Verzeichnis wie wp-config.php)
  • Benutzernamen ändern / admin löschen (Benutzernamen root vermeiden ;) )
  • wp-login.php per .htaccess mit Passwortschutz ausstatten und evtl. Login auf bestimmte IP-Adressen beschränken
  • Rückmeldung bei der Username / Passworteingabe unterbinden. Dazu in der functions.php des Themes folgendes hinzufügen:
add_filter('login_errors',create_function('$a', "return null;"));

Um den Erfolg seiner Bemühungen zu überprüfen kann man die Website WPSCAN benutzen (braucht Plugin oder ein <!– wpscanner –> im head-bereich). Der WPSCAN Scanner überprüft natürlich nicht die Passwortstärke.
Wenn man alles richtig gemacht hat und WordPress in einen Unterordner installiert, schlägt allerdings der Scan der Zugriffsrechte für Ordner mit folgender Meldung fehl:

Warning: fileperms() [function.fileperms]: stat failed for ../.htaccess in /home/******/public_html/wp-content/plugins/wp-security-scan/functions.php on line 22

Dagegen half ein Anpassen des relativen Pfades zu .htaccess in der scanner.php in Zeile 17 bei check_perms.
Wer sich das Plugin sparen will, hier die Empfehlungen des Plugins:

Ordner Schreibrechte
root directory 755
wp-includes 755
.htaccess 644
wp-admin/index.php 644
wp-admin/js 755
wp-content/theme 755
wp-content/plugins 755
wp-admin 755
wp-content 755

Für den Notfall empfiehlt es sich immer ein Backup seines Themes, der Uploads und der Datenbank anzulegen. Von Il Filosofo gibt es ein Plugin zum automatisierten Datenbankbackup.
Ein komplettes inkrementelles FTP-Backup erstellen z.B. FTPsync und Sitecopy.