Estas totalmente confundid@, si te van a atacar lo harán igual tengas WordPress en el directorio raiz (que sería lo lógico si no tienes nada más) que en un directorio.

Si te refieres a ataques de fuerza bruta podrías proteger el wp-login.php y wp-admin por contraseña mediante el .htaccess. No es del todo efectivo, aunque algo reduce la cosa.