1. Защита на уровне сервера, в том числе блокировка известных стремных запросов, лимит попыток ввода пароля, блокировка доступа к тому, что не нужно, корректные права и тд. Fail2ban, UWF и вот это все, плюс Nginx.
2. Построение проекта на базе Composer, где WP - обычная зависимость, как и все остальное. Автоматический деплой с возможностью мгновенного отката. Мониторинг чексум. Мониторинг производительности, доступности и логов.
3. Проверка всего кода, который устанавливается. Никогда не использовать "зануленные" плагины и темы.
4. Использование лучших security практик при написании своего кода.
5. Использование bcrypt или argon для паролей WP.
6. Использование .env
7. Доступ к wp-admin только по IP или по IP через VPN (чтобы не нужно было обновлять whitelist если IP меняется).
8. В некоторых случаях CloudFlare на входе.
Никаких плагинов типа Wordfence, iThemes Security и прочего не использую и не советую. Они только замедляют сайт, не делают ничего, что не может быть сделано без них, сами являются уязвимым местом и создают ложное чувство безопасности.
