Un des moyens de ne pas se faire voler son mot de passe et login WordPress est de se connecter uniquement en chiffrant la connexion par SSL (HTTPS). WordPress a une fonctionnalité, un peu cachée, pour forcer l’utilisateur à utiliser SSL lors de sa connexion.
Pour activer cette fonctionnalité, vous devez rajouter dans le fichier wp-config.php la ligne suivante :
define('FORCE_SSL_ADMIN', true);
Source : Codex WordPress
Le mieux c’est quand même de forcer le HTTPS avec Apache/Nginx, comme ça toutes les requêtes HTTP sont faites par dessus TLS :)
Si votre hébergeur ne propose pas HTTPS, vous pouvez toujours passer via Semisecure Login Reimagined, il chiffre le login pour qu’une attaque MITM ne puisse l’intercepter :)