Der Artikel ist grundsätzlich gut, zwei Dinge sind mir jedoch aufgefallen:
1) Die .htpasswd Datei sollte zur Steigerung der Sicherheit wenn möglich nicht innerhalb des Webspaces abgelegt werden, sondern an einer ganz anderen Stelle des Dateisystems. Ich weiß natürlich, dass das bei einem normalen Webspace bei gängigen Hostern nicht möglich ist. Ich betreibe für meine Kunden einen eigenen Webserver, dort geht es.
2) Einen ganz wichtigen "Faktor" hat Herr Hitzig aber außen vor gelassen: Die 2-Faktor-Authentifizierung. Ich arbeite selbst meist mit Joomla, aber auch Wordpress müßte und sollte diese Option über eine Zusatzsoftware bieten. Mit einem 2. "Passwort" auf das man über einen ganz anderen Weg Zugriff hat, macht man die Wordpress-Installation deutlich sicherer. Problematisch wird es aber dann, wenn man viele Installationen betreut, denn wenn man z.B. auf eine neuere Smartphone Gerneration wechselt, muss man jeden einzelnen Faktor separat umziehen. Und das Smartphone gewinnt dann stark an Bedeutung: Ohne den 2. Faktor kommt man nicht mehr in die Admin-Oberfläche. Das macht den 2. Faktor nicht schlecht, die derzeit gängige Methode diesen 2. Faktor zu verwalten muss aber weiterentwickelt werden.