Ti consiglio almeno Limit Login Attempts per respingere gli attacchi brute force. Sarebbe comunque interessante sentire se il tuo fornitore di hosting può verificare dove sei stato bucato o se è uno di quelli che ti vendono il servizio e poi se ne fregano o, peggio, se ha server che possono essere bucati per cui il problema è a monte del blog.