Che io sappia il php pre-processa la pagina prima di visualizzarla, non è come l'html che è lì bella che fatta , quindi quando tu apri direttamente quel file non dovresti veder nulla, si possono vedere i codici soltanto modificandolo. E comunque wordpress mi sembra sia uno dei CMS più sicuri. Non capisco come farebbero ad entrarti nel sito attraverso quel file xD.