Wordpress'te ilk güvenlik önlemi kurulum anında başlar aslında. Ancak çoğu kişi bu detayı umursamaz. Ölümcül bir detay değildir ama taş atıpta kolunuz yorulmaz türdendir. Table prefix dediğimiz tablo ön ekini muhakkak random bir isim ile degiştiririm. Çoğu kullanıcı bunu varsayılan olarak bırakır bu bir güvenlik açığı denilebilir.

Wp-admin varsayılan login panelini muhakkak farklı bir url ile değiştiririm. Saldırı yüksek bir site ise login paneline çoğu kişinin recaptcha kullandığını görsemde, .htaccess ile tarayıcı tabanlı ek şifre koymayı tercih ederim. 2 adımlı doğrulama, recaptcha gibi önlemler bana biraz fazla modern geliyor galiba...

Wordpress'te varsayılan olarak kullanıcı adınız yazar url'si olarak yer alır. Bu ciddi bir güvenlik açığıdır. Görünen adı panelden değiştırseniz bile yazar url'si kullanıcı adınız olarak herkese açık görünür. Bunu basit edit author slug gibi eklentilerle ekstra yük bindirmeyen eklentilerle değişebiliyoruz.

Wordpress sürümü, eklenti isimleri ve sürümleri gibi hem gereksiz olan hemde güvenlik açığına neden olan kaynak kodda ki etiketleri kaldırırım. Böylece kimse neyi kullandığımı ilk bakışta çözemez. Eğer çok saldırı alan bir site ise, Wordpress' e ait tüm dosya adlarını bile bazı eklentilerle değiştirmek mümkün.

İletişim formunda asla hosting/sunucu maillerini kullanmam. Yandex connect ile mail acarım, böylece spam yesem bile sunucu sağlıklı şekilde çalışmaya devam eder.

Xml-rpc gibi gereksiz işlevleri kapatmakta da fayda var.

Eee tabi chmod ayarlarina falanda göz atmak gerekir.

Gibi gibi pek çok sayabileceğimiz önlem var.

Edit: en büyük ve en önemli güvenlik önlemi düzenli yedek almaktır.