WordPress implementa un sistema de seguridad a través de las claves de seguridad y las claves sal, estas claves están encriptadas y agregan una capa extra de seguridad a las cookies de sesión que se generan en tu sitio WordPress.
1- Generalidades
Las claves de seguridad de WordPress son constantes generadas de manera aleatoria y son usadas para mejorar la encriptación de la información almacenada en las cookies, estas claves se guardan en el archivo wp-config.php, tal como se muestran en la siguiente imagen.

2- ¿Cuando cambiar las claves de seguridad?
Si sospechas que tu sitio ha sido hackeado una de las primeras cosas es cambiar la clave de administrador (o administradores), sin embargo también es recomendable volver a generar las claves secretas y clave sal, de esta manera si el usuario atacante esta conectado en una sesión será expulsado.
3- Cambiar las claves de seguridad manualmente
Puedes usar el servicio de la API de WordPress para generar estas claves, se realiza simplemente accediendo al enlace anterior, verás que se generan datos aleatorios cada vez que la url es consultada.

Luego puedes copiar este texto y reemplazarlo manualmente en el archivo wp-config.php en lugar de las claves anteriores.
4- Cambiar las claves de seguridad con un plugin
Si quieres cambiar periódicamente las claves de seguridad, podría servirte un plugin como Salt Shaker que te facilita el proceso de cambio de estas claves.
Luego de instalar el plugin verás que la se puede configurar desde Herramientas > Salt Checker, tal como se ve en la siguiente imagen

5- Conclusión
Las sesiones de tu sitio se guardan en un archivo de cookies que no es más que un archivo de texto, WordPress protege esta información con las claves secretas y claves sal encriptando esta información. Puedes mejorar la seguridad cambiando estas claves cuando hayas detectado accesos no autorizados a tu sitio.