Возможно, стоит ограничить доступ к админке исключительно SSL. Тогда:
[ ] необходимо настроить перенаправление с http на https для /wp-admin
[ ] ужесточить авторизацию для /wp-admin. В идеале - требования авторизации Windows. Хорошо бы найти плагины, способные сопоставить авторизацию IIS и авторизацию Wordpress.
Возможно, стоит ограничить доступ к админке исключительно SSL. Тогда: