講じられた対策は以下の通りです
1.wp-config.php ファイルのパーミッションを「400」に変更
2.install.php ファイルのパーミッションを「000」に設定
3.wp-config.php ファイル内にあるAUTH_KEYやAUTH_SALT等の記述を変更
これらの対策は今回被害に合わなかったWordPressでも行っておくべき対策だと思います。
また、サーバーサイドで行った対策は以下の通りです
1.サーバーの設定を変更し FollowSymLinks を無効とする
2.SymLinksIfOwnerMatch を有効にするため、.htaccess 内の記述の置換
これはサーバーによってはユーザーが設定できない場合があるかもしれません。
改めてセキュリティ対策の重要性を感じました。
個人運営でも気をつけておかないとめちゃくちゃにサイトが破壊されることもあるかもしれません。