Resulta que WordPress tiene una utilidad para ver los artículos de cada autor y se puede acceder por su id de autor, podemos ir a la url:
http://miweb.com/?author=1
y como si tienes urls amigables te redirigirá normalmente a:
http://miweb.com/author/admin
y ala, ya tenemos el login de admin, la mitad para poder acceder al administrador de wordpress metiendo diccionarios de password a lo bruto.
Para mejorar la seguridad en este sentido, primero, usar siempre contraseñas seguras y después podemos cambiar por la base de datos el nombre «amigable» del usuario que sale en la url.
Para esto tienes que abrir la tabla wp_users y cambiar el campo user_nicename por lo que queramos que salga en la url. Así de esta forma si intentan utilizar ese nombre como login dará error porque ese usuario no existe.
Así evitamos uno de los ataques mas simples que nos pueden hacer.
Pero recordar que el mayor fallo de seguridad lo provocamos nosotros poniendo contraseñas sencillas.