Ich bin mir nie so ganz sicher, ob der WordPress-eigene Schutz zum Login in den Admin-Bereich ausreichend ist oder nicht. Daher habe ich vor einigen Tagen das Verzeichnis wp-admin zusätzlich mit einem Verzeichnisschutz durch .htaccess versehen. Das klappte auch augenscheinlich prima, denn wenn ich den Admin-Bereich aufrufen wollte musste ich zunächst Username und Passwort für den Verzeichnisschutz eingeben und wurde danach zusätzlich nach dem Login für WordPress gefragt. Doppelt hält ja bekanntermaßen besser.
Der Teufel liegt aber hier im Detail verborgen: Nach der Aktivierung des Verzeichnisschutzes können keine Bilder mehr über den Flash-Fileuploader bzw. nextGEN Gallery hochgeladen werden. Flash fragt zwar noch nach dem Passwort, stürzt dann aber so deftig ab, dass es den Browser gleich mitreißt. Ergo: Verzeichnisschutz wieder abschalten 
Ein kleines Plus an Sicherheit kann man aber dennoch einbauen: Normalerweise heißt der Loginname des Administrators “admin” – zumindest legt WordPress diesen genau so an, wenn man ein neues WordPress installiert. Das ist aber eigentlich doof: Ein böser Bube braucht so nur das Passwort zu erraten, der Benutzername ist ja fix, eh voila. Ändert man den Loginnamen zusätzlich auf irgendetwas mehr oder weniger Kryptisches, muss der Angreifer Passwort und Benutzername raten. Das ist schon ein bisschen schwieriger.
Wiederum dumm an WordPress ist, dass es nicht vorsieht einen bestehenden Benutzernamen zu verändern. Das ist aber gar kein Problem. Man muss nur die Datenbanktabelle *_users bearbeiten und den Wert des Eintrags user_login verändern. Alle anderen Werte können bleiben wie sie sind.