どこまでやれば・・・という感じですけど。誰のために？が大事かも知れませんね。あくまでも私の意見としてとらえていただければと思います。

ログイン用のURLを秘匿（別のもの）にしたところで実際のユーザーにはわかっているのですから、対策にはならないと思いますから、これは変更したときのトラブルを防ぐ意味でもデフォルトのままの方がいいと思います。それにバージョン4.6辺りから登録方法がダブルオプトイン（一旦登録希望のユーザーに仮登録メールを送り、中のリンクをクリックすることで正式登録とする方法）になっているのでユーザー登録やパスワードリセットも含めデフォルトのものをどう利用するかを考えた方が無難だと思います。

また、そもそもWordpress本体のユーザー権限による制御が正しく動くことが前提なのでそこに何かバグなどがあればその前提も崩れてしまうのでこれが万全という対策はないと思います。

そこで誰のために？というのを登録してくれるユーザーとして考えると、何等かでユーザー名やメールアドレスが流出して被害が及ぶのをどう防止するか？というのが主眼になると思います。

考えられる対策としては
・メールアドレスを使ったログインを防止する（ユーザー名のみにする）
→「No Login by Email Address」など
・ユーザー名がユーザーアーカイブページで出てしまうのを防止する
→「Edit Author Slug」など
・バックエンドへ行けるのはサイト管理者だけにする
→「Remove Dashboard Access」など
あたりは必要だと思います。本当にその他考えだしたらキリがないと思いますよ。

また、EU加盟国とそこに住む方、国籍の方の個人情報を保護する法律であるGDPRへの対応も必要となるので結構大変かもしれませんね

バックエンドではなくフロントエンドから投稿を可能にするプラグインは「WP User Frontend」などいろいろなプラグインがありますからそれを使えば実現は可能だと思います。

自分はIP認証でやってますが、メジャーなのはこっち

siteGuard