Правила для WordPress, такие же как для любой другой системы: берите тему и плагины из официальных источников, настройте правильные права на сервере и вовремя обновляйтесь. Задайте надежные пароли и держите их в секрете.
Взламывают в основном расширения, а не само ядро. Поэтому, в разумных количествам можно реализовывать какие-то штуки самостоятельно. Например, вместо кучи плагинов для всплывающих окон, чтобы не приходилось следить за их кодом, взять какой-нибудь
Magnific Popup и самостоятельно подключить. Вопрос пары строк кода.
переименовать стандартные папки, скрыть все лишнее
Судя по форуму поддержки — это не помогает. Версию никто парсить из кода не будет, а просто пачкой прогонят эксплойты. Формы логина по кастомному пути также успешно брутфорсят, как и по стандартному.
Простой
Средний