Temanızdaki timthumb.php dosyası eski ise burdan giriyo olabilirler.
https://code.google.com/p/timthumb/ bu adresten yeni versiyonuyla değiştirin.
Better WP Security kurup, 1 nolu kullanıcıyı değiştirin, wp önekini değiştirin,sistem dosyalarına direkt erişimi engelleyin , yanlış giriş denetimini etkinleştirip brute force saldırıları englleyin , wp-admin ve login klasörlerinizin ismini değiştirin ve panodaki kırmızı görünen ayarları yapın büyük oranda korunursunuz lakin sitenize gelen saldırıları tam engellemiş olmazsınız.
.htaccess dosyanızda serverla alakalı bikaç ayar daha yaptıktan sonra, 2 işlem daha kalıyor.Wp-admin klasörünü şifrelemeniz. Bu da sizi korumaz, çünkü wp-login.php dosyasından saldırı almaya devam edersiniz. Wp-login.php dosyasını da şifrelediniz mi artık geceleri rahat uyuyabilirsiniz.

Sitenizin ne kadar saldırı aldığını, ve kimlerin ne zaman login olduğunu görmek istersenizde wordfence güvenlik eklentisini kurun. Yanlış giriş sayısını 2 ile sınırlayıp, email bildirimini işaretleyin. Sitenize günlük ne kadar saldırı geldiğine siz bile inanamayacaksınız. Ayrıca yanlış girişleri ve admin girişlerini size email ile bildirdiği gibi, live traffic bölümünden de kontrol edebilirsiniz.