PHPに限らないけど、実行できる言語のソースを残して「踏み台」にされる可能性は排除したほうが安心
まぁ条件がそろわないと外部からはできないんだから、.htaccessでWPのディレクトリ丸ごと禁止でいいんじゃね
鯖管理へログインされたらそこで終了だけど、そういう話じゃないのだろうから、通常のページを禁止すれば外からはなんもできないよ。普通のクラッカー(笑)はちっとも魔法使いじゃないからそこまで怖がらなくてもいい