そもそも編集用ログインの接続がhttpsじゃなかった！！やばい！！(自意識過剰)

急いでやったった。

• apache+sslの導入…http://centossrv.com/apache-ssl.shtml
• ↑いつもどおりのオレオレ証明
• httpでの/wp-admin/と/wp-login.phpの禁止：httpd.conf
• <Directory "~/hp/.*/?">にOptions -Indexes(2014/1/4追記)
• レスポンスヘッダにバージョンを乗せない：ServerTokens ProductOnly(2014/1/4追記)
• エラー画面でバージョン表示しない：ServerSignature Off(2014/1/4追記)
• よく分からないけどTraceEnable Off(2014/1/4追記)

で、どうにかなったはず。

追記：初期設定があれだけ手厚かったwordpressだから、よく考えたらプラグインとかあるはずなんだよなぁ。