来自：How to protect your WordPress site这些方法中只有 1、4 点我一直坚持，其他方面虽然能让 WordPress 更安全，但你也可以选择不这么做，因为根据我的经验，使用 WordPress 两年来都没有出现什么大的问题。

1、确保你的网站是运行在最新版本的 WordPress 上。
2、确保你的 wp-config.php 文件是不可直接读取或写入的。
3、完成安装后删除 wp-admin/install.php 页面。
4、保护自己免受垃圾评论的侵扰，可以尝试 Akismet 或 SK2。
5、限制用户注册，或者只给注册用户一个最低权限，如 Subscriber。
6、建立一个新管理员帐号并设置一个安全的密码，然后删除默认的 admin 帐号。
7、保护你的 WordPress 插件
(One Simple Way to Protect Your WordPress Plugins)