Und dann ist Wordpress halt Hauptangriffsziel Nummer 1. Ich habe täglich auch auf "kleinen" Kundenwebsites Hunderte von Zugriffsversuchen auf typische Wordpress URLs, wp_login.php etc. Jede anfällige Website auf einem nicht völlig sicher konfigurierten Server kann auch den Server selbst kompromittieren.
Dabei ist es eigentlich relativ einfach WordPress mit Standardmitteln schon gegen häufige Angriffsvektoren abzusichern, allein Backend mittels htpasswd und gut ist oder noch besser mittels htaccess auf einen anderen Zugriffsnamen umkonfigurieren. Ich versuche bei meiner Installation möglichst alles nativ mittels PHP umzusetzen und auf aufgeblähte PlugIns oder PlugIns generell zu verzichten.