Najwazniejsze to:
akutalizacja wtyczek i wordpressa,
wywalenie wszystkich nieużywanych, niepotrzebnych wtyczek, szablonow. Czesto instalujemy wiele wtyczek i szablonow ktorych pozniej nie uzywamy... wywalic wszystko czego nie używasz, a to co zostaje, aktualizowac na biezaco.
Zmiana sciezki do logowania ze standardowej strona.pl/wp-admin na np: strona.pl/xca-panel - cokolwiek
Zabezpieczenie logowania przed bruteforce, po 2-3 próbach banowanie IP
Ustawienie dwuetapowej autoryzacji do panelu, hasło+kod z aplikacji na telefonie..
poza tym możesz pomyśleć też o Cloudflare
Tyle przychodzi mi na mysl co mozesz zrobic jako laik.
Oczywiscie wordpress jest podatny, ale glownie wtedy, kiedy nieumiejetnie z niego korzystamy..