In je htaccess toevoegen dat alleen via bepaalde IP-adressen ingelogd kan worden. Helpt ook.

Meer over WordPress hacks vind je hier.

Tevens biedt wpbeveiligen ook een beveiligings pakket met garantie, ben je 6 tot 12 maanden zeker dat je geen gedoe hebt met hackers en lekken.

alle niet gebruikte templates en plugins verwijderen is ook een hulp

hier heb ik goede ervaringen mee:
1- http://devel.kostdoktorn.se/limit-login-attempts
2- https://wordpress.org/plugins/wordfence/

Succes

Ook handig:

https://www.duosecurity.com/docs/wordpress

Na één hack is de kans groot dat er allerlei backdoors geplaatst zijn. Het is dan niet zo heel eenvoudig om van een hacker af te komen. In allerlei mapjes kan een extra php bestandje zitten die weer opnieuw toegang voor de hacker kan verschaffen. De enige methode is om je volledige site via ftp te kopieren naar je harde schijf. Vervolgens kan je via bv dreamweaver alle bestanden inhoudelijk doorzoeken op kenmerkende functies voor deze bestanden. bv zoeken op base64( of eval(. Succes, dit zijn vervelende dingen.

Een WordPress bestand herkennen is een kwestie van alle php's uit de uploads map smijten, dan de volgende bestanden bekijken:
index.php
header.php
page.php
single.php
category.php
Daarna de achterliggende theme files.
Waarna je WordPress in zijn geheel er opnieuw upload. De core bestanden dan he! Op de wp-content, de .htaccess en de wp-config.php na.

Maak altijd eerst een backup!!!