О безопасности WordPress

Последние полгода читаю форумы «некультурных» людей, которые занимаются взломом и заметил одну особенность. Сам по себе движок WP более менее устойчив к атакам, но плагины и Темы оставляют желать лучшего. Заметил еще одну особенность, что даже занимавшиеся взломом только джумлы, например, спокойно перешли только на WP. И это не радует, ведь разработчики плагинов и Тем не так активно обновляют свои творения в свете последних данных об уязвимостях. Я примерно посчитал соотношение как и через что в основном «ломают» юзеров, получилось примерно так:
30-40% Через заражение компьютера жертвы, то бишь «сам виноват»
20-30% Известные уязвимости плагинов и Тем
20% Специально оставленные дыры в плагинах и Темах
10% Сторонние сервисы, типа тизеров и т.п. (в основном реклама)
И остальное — низкий уровень знаний самих юзеров, делающих неосознанные глупости… Как-то так.
Вот, хочу услышать Ваши соображения, примеры, как кто пытается защититься, или хотя бы минимизировать риск взлома.

Начну с установки. Где-то неделю назад попал на форум, где обсуждался взлом во время установки WP. Основан на том, что если бот во время установки окажется по этому адресу, то как сами понимаете, логин и пароль в легкую попадают к хакерам. Даже описан дорк (вариант запроса) через гугл. Как я понял они выдергивают это из кеша гугла. Работает он или нет, точно не знаю, но с этого дня перед установкой WP я сначала закидываю robots.txt Disallow: / и хоть у меня динамический IP, я блокирую доступ через сеть класса C

Order Deny,Allow
Deny from all
Allow from 100.100.100.

Максимально закрываю доступ к сайту на время установки.