Auch updated Wordpress sich und die Plugins automatisch (wenn man es will).
Man kann auch die Autoupdates deaktivieren und im FTP die Schreibrechte anpassen.

Und ja, ein paar Sichheitsmaßnahmen/Plugins können nicht schaden. (vor allem AntiSpam, wenn man Rückantworten/Kommentare/Gästebuch haben möchte und nicht alles selber prüfen/freischalten will)
Es gibt auch Security-Plugins, welche Verzeichnisse/Einstellungen prüfen und einen Sicherheitsstatus anzeigen (und vielleicht sogar beheben/optimieren).

Bei mir wurden damals auch die Mails gehackt, weswegen ich denke/vermute, dass der Angriff selber eher nicht über Wordpress, sondern FTP lief.

Ich hatte ganz am Anfang ein phpBB-Forum und Wordpress bei einem Freehoster und hatte da für die Sicherheit garnichts getan ... als das gehackt wurde, war ja klar warum.