WordPress を改ざんから守るにあたってするべきことはいくつかありますが、簡単で効果的なものを一つ紹介します。それは、.htaccess で wp-config.php へのアクセスを遮断してしまうことです。
このファイルには、データベースへのアクセスID、パスコード、ホスト名、接頭辞(prefix)などが書き込まれているので、他人にはアクセスできないようにしてしまいましょう。
.htaccess に次の4行(1行目はただのメモ)を加えるだけです。
#---------- Protect wp-config.php ---------- <files wp-config.php> order allow,deny deny from all </files>
これだけでも違うはずです。
ちなみに、.htaccess と wp-config.php のパーミッションは、それぞれ604、400にしておきましょう。(サーバーの設定によっては作動しない場合もあります)