WordPress ist ein sehr verbreitetes Blog- bzw. CMS-System, gerade deshalb wird es für “böse Jungs” eine immer beliebtere Spielwiese. Platzhirsche haben ein schweres Leben.

Generell gilt: Es gibt kein wirklich sicheres System. Das gilt auch für TYPO3 und Co.
Je komplexer die Installation, insbesondere Theme samt und besonders der eingesetzten Plugins, umso unsicherer wird’s.

Sicherheit ist bei vielen WP-Projekten nicht (immer) gegeben. Das ist kritisch, denn wenn das Kind in den Brunnen gefallen ist, dann sind die Kosten und der Schaden bedeutend höher. Nicht alles Sicherheitsgedöns wird nämlich vom Hoster abgedeckt. Für die (CMS-)Installationen, deren Pflege und Aktualisierung ist der Kunde selbst verantwortlich.

Eine gewisse Sicherheit ist also nur gewährleistet, wenn SQL- und PHP-Version und WordPress samt Plugins und verwendetem Theme auf aktuellen Stand sind.
Hilfreich ist auch eine regelmäßige Sicherung via FTP ( wp-config.php und Ordner wp-content) und WP-Export-Datei, die als XML gespeichert wird und alle Beiträge, Seiten, Kommentare, Benutzerdefinierte Felder, Kategorien, Tags, Navigationsmenüs und benutzerdefinierte Inhaltstypen umfasst.
Eine Sicherung der SQL-DB via phpMyAdmin ist auch ratsam.
Im Prinzip kann man alles selbst machen oder mit dem Dienstleister eine Sicherheitsroutine nach Bedarf vereinbaren.

Einige Linktipps:
wordpress-buch.bueltge.de
codex.wordpress.org
t3n.de
elmastudio.de