.htaccess - файл, который лежит в корне сайта и в котором прописаны все правила и ограничения доступа к сайту целиком и его отдельным файлам по протоколу HTTP. При работе с файлом .htaccess  следует соблюдать осторожность и делать бэкап перед каждой модификацией. Если в файле допущена ошибка хотя бы в один символ, сайт может полностью потерять работоспособность.

Чтобы защитить Wordpress хотя бы  "от пионеров", стоит внести в этот файл следующие изменения.

1. Защищаем файл конфикурации wp-config.php

В файле wp-config.php хранятся в открытом виде важные данные - логин и пароль подключения к базе данных сайта. Логичным выглядит скрыть его ото всех любопытных глаз и загребущих рук.

<files wp-config.php>
order allow,deny
deny from all
</files>

2. Защита каталогов сервера от просмотра

Некоторые хостинг-провайдеры позволяют просматривать содержимое каталогов на сервере. Если в каталоге нет файла index.html, содержимое каталога выводится в браузере и можно скачать любой файл. Чтобы этого не было, нужно либо в каждом каталоге создать index.html или в .htaccess добавить следующую фразу:

Options All -Indexes

3. Двухфакторная авторизация 

По умолчанию в Wordpress авторизация однофакторная, простой вход в админку (/wp-admin). Для повышения безопасности можно для данного каталога добавить еще HTTP-авторизацию. Для этого нужно воспользоваться админкой хостинга и найти пункт "Защитить каталог паролем". У разных хостеров это может называться по-разному. У Agava.ru, услугами которой я пользуюсь, в админке есть пункт:

secure

У других хостеров вид админки может отличаться, но почти всегда что-то подобное имеется. Заходим туда, создаем пользователя и делаем доступ к каталогу /wp-admin защищенным. В этом случае при входе в админку сайта нужно будет вводить уже две пары "логин-пароль" - те что вы указали в админке хостинга и те, что соответствуют админу в Wordpress. 

В каталоге /wp-admin будет создан свой .htaccess, в котором будут присутствовать строки:

AuthName 'Restricted Area'
AuthType Basic
AuthUserFile /*****/*/********/.authfile
require user ***имя пользователя***

4. Защита от XSS

XSS ("кроссайтовый скриптинг") - тип атаки на веб-сайт, заключающийся во внедрении в формируемую сайтом страницу вредоносного кода, который взаимодействует с сервером злоумышленника. К примеру, если в комментариях к сайту не запретить javascript, то найдется умник, который этим воспользуется, добавив строчку <script>window.open('...');</script>. При этом каждый раз при открытии страницы с данным комментарием будет открываться окно с другим сайтом. Этот пример, на самом деле, достаточно безобиден и легко выявляется. Но есть гораздо более серьезные виды XSS-атак, которые могут принести большой вред. Подробнее о них можно почитать, например, здесь - http://habrahabr.ru/post/66057/

Приведенный ниже код защищает от "вредных" GET- и POST- запросов, содержащих слово <script>, а также пресекает попытки модифицировать значение глобальных переменных GLOBALS и _REQUEST.

Options +FollowSymLinks
RewriteEngine On
RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
RewriteRule ^(.*)$ index.php [F,L]

Если запрос "не проходит" через данный фильтр, браузер показывает ошибку 403 - доступ запрещен.