Судя по описанию версии 3.9 https://codex.wordpress.org/Version_3.9 там нет ничего касаемо улучшения безопасности. Если конечно не считать возможные уязвимости в старых версиях внешних библиотек.
Может быть Вы знаете, Wordpress 3.8.13 это безопасный релиз? Насколько я понимаю, 3.9 не содержит заплатки, а лишь несёт новшества в функционале. Или это не так?
Получается, нужно закрыть доступ к wp-config.php, другим способом разве можно получить данные о БД? Насчёт запрета всех ip в .htaccess мысль хорошая, спасибо.
Order deny,allow
Deny from All
Allow from хх.хх.хх.хх