ハッカーがすべてのphpファイルを調べた場合、彼は私に害を及ぼすことができますか？

はいといいえ。あなたのプロプライエタリなコードが見つけやすい巨大なエクスプロイトを持っていない限り、コード自体はほとんど意味がありません。独自のものではないもの - テーマ、プラグイン、ワードプレスのコア、ハッカーはすでにあなたのバックアップを調べることによって、それへのアクセスを持っており、それに関する潜在的な悪用についてこれ以上洞察を得ることはないでしょう。

しかし、1つのphpファイル - wp-config.phpがありますが、それを保護する必要があります。このファイルには、DB認証情報と認証クッキーのスレート値が含まれています。また、FTP認証情報などの他のものも含まれている可能性があります。

あなたが嫌がらせのホスティングをしているならあなたがあなたのサイトに侵入するために私がしなければならないすべてがMySQLサーバーが同じハードウェア上にあるなら同じサーバーで口座を開くことですDBと私が望む任意の変更を加えます。専用のMySQLサーバーを持つホストの場合、必要なのは同じネットワーク上にあるアカウントだけなので、さらに簡単です。

あなたがランダムハッカーの犠牲者であるならば、あなたの認証クッキーソルトの知識を得ることはそれほど危険ではありませんが、それはあなたのクッキーから有効なパスワードを構築するのに使用することができます。 OTOH、あなたがセキュリティについて真剣であるならば、あなたは誰にも暗号化されていないHTTPを介してサイトにログインさせないでしょう、それは実際には本当のセキュリティ問題ではないかもしれません。