Tanto quanto eu sei o que você pergunta não é realmente possível com o WordPress (ou qualquer aplicativo PHP simples) sozinho. É o mesmo dilema das credenciais de banco de dados no WP - se o FTP for hackeado, o hacker obtém login / senha do banco de dados a partir de wp-config.php
. É impossível protegê-los porque o WordPress (ou qualquer outro aplicativo PHP realmente) precisa deles para acesso ao banco de dados. Mesmo se eles forem armazenados criptografados em algum momento, precisarão ser descriptografados.
A mesma coisa com as postagens - mesmo se armazenar mensagens criptografadas no banco de dados em algum momento, o WordPress precisará descriptografá-las. Se o WordPress puder descriptografá-los, o mesmo acontecerá com a pessoa que invadiu a conta.
Provavelmente você pode de alguma forma separar chaves da instalação do WordPress, mas isso simplesmente está mudando a questão - agora ainda temos que pensar em proteger as chaves de serem hackeadas / vazadas, elas estão em outro lugar.