Как найти уязвимости и защитить свой сайт на WordPress

И после того как вы проделали все эти пункты — поздравляю! Ваш сайт на вордпрессе все так же уязвим как и прежде.

Установите правила .htaccess

Самое главное правило: откажитесь от Апача в пользу nginx + php-fpm.

1. Переведите сайт в автономный режим (режим обслуживания). Это лишит взломщика возможности увеличить ущерб сайту или помешать вашим попыткам восстановить контроль над веб-ресурсом.

Нет, если залил (а они залили) левые php, только отключить и ручками. Взломанному WP нельзя исполняться!

2. Сообщите о взломе вашему хостинг-провайдеру, чтобы он мог помочь вам.

Это что-то новое для паблик хостинга (не частный).

3. Сделайте резервную копию взломанного сайта, если вы хотите изучить его впоследствии.

Это правильно.

4. Просмотрите серверные логи, чтобы определить, как злоумышленник смог взломать сайт. Это поможет вам узнать, как исправить эту проблему, а также понадобится для поиска того, что взломщик успел сделать.

В зависимости от того, что в эти логи писалось и каков уровень взлома. Он мог и ко всей системе доступ получить, если пхп или компоненты под рутом или система дырявая.

5. Обновите всё, что можно обновить.

НЕЛЬЗЯ давать взломанному ВП работать. И тем более обновлять, не устранив проблему.

6. Удалите все файлы, страницы, сообщения, Комментарии или процесс, добавленные злоумышленником. Если вы сомневаетесь в том, всё ли вы нашли, создайте новый сайт WordPress с нуля, а затем восстановите на нём последнюю резервную копию, сделанную до взлома.

Эк вы резко перемахнули через десяток шагов)
На самом деле это (если бы не было предшествующих) надо поставить 1м пунктов: сделать бекап базы, следом скопировать аплоад, удалить оттуда все htaccess (мы же решили, что апач в топку) файлы и все php файлы. Следом распаковать из архива файлы той же версии ворпресса и по новой плагины, вручную. перенести настройки из старого ВП (перенос настроек != слепое копирование файла из взломанной системы). После этого ВП заведется.
Далее так как доступ только у вас по айпи, то обновить все + смениле пароль админ учеток (если их несколько).

У Вас в нескольких местах написано WP-config.info. Наверное, Вы имели ввиду wp-config.php?

Первое правило: размещайте сайт на своём ВПС.

Измените префикс базы данных (только перед установкой!) можно и после установки сменить, есть даже легкие способы это сделать

И стоит отметить XMLRPC атаки, они актуальны по сей день.

Можете чуть более подобно описать, пожалуйста?

Вот здесь есть пост об этом.

Не позволяйте поисковым роботам просматривать каталоги

В принципе да, но нет.
Необходимо знать, что можно показывать, а что нет.

Информация для владельцев WP вероятно базовая, но есть проблема в плагинах которые редко или уже не обновляются, но аналогов нет :(

И обязательно стоит при разработке своей темы на основе готовой, делать дочернюю.
Это позволит продолжать обновлять основную (залатывать дыры), но не убивать все проделанные ранее правки в теме (пришел к этому не сразу, сильно сожалею)