Uma boa é, se vc não usar nenhum plug-in que se conecte com terceiros, como o Jetpack, desative o XMLRPC do WordPress, pois uma vez com seus dados, geralmente é por ele que os hacker realizam ações remotamente no seu site.
Da pra fazer isso apagando o xmlrpc.php da raiz do servidor, ou pelo próprio wordfence mesmo :)