Αλλά και πάλι υπάρχουν ορισμένα blind spots, συνήθως λόγω παλαιών plugins ή παλαιών themes καθιστώντας το wordpress setup ευάλωτο.
1) Ασφαλίστε το φάκελο wp-admin και το αρχέιο wp-login.php με έξτρα κωδικό χρησιμοποιώντας .htaccess. Περισσότερες πληροφορίες για τη δημιουργεία τέτοιων κωδικών μπορείτε να βρείτε εδώ
https://clients.myip.gr/knowledgebase/14/Password-Protect-Directory.html ή να το κάνετε μέσω cPanel στην επιλογή Password protect directories.
Έτσι κάποιος ακόμα και να ξέρει το κωδικό σας, ή με κάποιο τρόπο (sql injection) κάνει reset τον κωδικό ή φτιάξει χρήστη με admin δικαιώματα, απλά δεν μπορεί να κάνει τίποτα από τη στιγμή που δεν έχει πρόσβαση στο admin panel του wordpress.
2) Απενεργοποιήστε file editing & uploading μέσα στο wp-config.php ! Από τα πιο βασικά αν όχι το πιο βασικό, μιας και που το μεγαλύτερο κομμάτι κακόβουλου κώδικα και scripts ανεβαίνουν χάρη σε σπασμένα / παλιά plugins και themes.
Εισάγουμε στο wp-config.php τα παρακάτω:
/** Disable File Editing */
define('DISALLOW_FILE_EDIT', true);
/** Disable file modification including install and update of themes and plugins */
define('DISALLOW_FILE_MODS',true);
/** Ask for FTP details when uploading and installing themes and plugins */
define('FS_METHOD', 'ftpext');
