Einen riesigen Anteil Sicherheit erreichst du bereits, wenn du folgendes beachtest:
– Core, Plugins und Themes immer aktuell halten
– langes, komplexes Passwort nutzen (mind. 10 Stellen und kein Wörterbuch-Wort)
Zusätzlich hilft z.B. eine SSL-Verschlüsselung (so dass dein Passwort nicht im Klartext übertragen wird) – das ist insbesondere wichtig, wenn du dich häufiger in anderen W-LANs einloggst (Cafés, Flughafen, etc.)
Viele weitere Dinge (admin als Benutzernamen vermeiden, Tabellen-Präfix ändern, etc.) sind meist zwar irgendwie hilfreich, aber kann man nur sehr begrenzt als wirklichen Sicherheitsgewinn sehen.
Von All-in-Sicherheitsplugins würde ich explizit abraten. Die Konfiguration überfordert einen Neuling meistens und man kann damit so auch mehr Schaden anrichten (sich z.B. selbst aussperren).
Wenn es noch mehr Sicherheit benötigt, dann ist eine Zwei-Faktor-Authorisierung möglich. Dazu gibt es diverse Plugins und Lösungen. Eine sehr bekannte nutzt z.B. die Google-Authenticator-App, deren Code dann zusätzlich beim Login angegeben werden muss.
Alternativ kann auch die wp-login.php mit einem serverseitigen Passwort versehen werden. Das stoppt auch Probleme, wenn es durch zu viele Anfragen (Brute Force Attacke) zu Problemen beim Server kommt.
Dann gibt es noch eine Reihe technischer Feinheiten, die man machen kann, aber für den Start reicht das erst einmal.
Akismet ist übrigens kein Sicherheitsgewinn, es filtert nur Spam-Kommentare. Es ist allerdings nur mit einem Zusatzplugin auch mit dem deutschen bzw. EU-Recht nutzbar. Mehr Infos dazu hier:
http://faq.wpde.org/hinweise-zum-datenschutz-beim-einsatz-von-akismet-in-deutschland/
Gruß, Torsten