CMS

How to secure website hosting on your VPS?

Давно уже пользуюсь vps-хостингом, на котором хостятся мои сайты и сайты моих друзей, все сайты самописные, без всяких CMS.
История начинается с того, что захотелось мне заиметь блог, недолго думая выбрал готовую CMS, и сразу выбрал Wordpress, ибо пару раз сталкивался с ним, знакомые знакомых просили с ним что-то делать. Ну и вообще, на слуху название.
Сказано - сделано. Поставил Wordpress из коробки, из плагинов - потребовался только плагин для листания картинок и плагин для связывания сайта с яндекс мерикой, и плагин для кеширования. Да, спустя какое то время посыпался спам, и я настроил плагин, акисмет или как его, который вроде из коробки шёл.
И вот, случилось страшное - сайт был взломан, в него был помещён файл modx.php, который оказался оболочкой для управления сервером. Из которого можно было лазить по всем директориям, в том числе по соседним сайтам, в том числе по папке etc и др.
Первым делом пошёл искать замену вордпрессу, и был удивлён тому, что его все советуют, причём даже в более-менее серьёзные проекты. Я и раньше подозревал что он не безопасен, а когда столкнулся с дырой - убедился в этом еще больше.
В общем, у меня следующие вопросы:
1. Как запереть все файлы внутри папки с сайтом? Чтобы ничто не смогло проникнуть наружу и заразить соседние сайты и систему?
2. Как все пользуются вордпрессом так, чтоб как у всех тех, кто его советуют, т.е. чтоб не ломали? Я слышал что сам по себе он не особо дыряв, все дыры в плагинах, но как пользоваться им без плагинов?