Руками и головой, анализируя исходники и изначально настроив систему безопасности сайта, плюс если есть необходимость жесткого слежения за ним, то систему оповещения! Как правила в основном WP ломают за счет бажности плагинов, слабо-стойким паролем, или фтп... от сюда и начинайте свой пинтест!