もう解決済み＋答えは出ているのですが、ちょっと追記として覚えておいていただきたいので。

一応、ドメイン直下か否か、という点に関しては他の回答者の方と同じですが
「OSSである以上、構造は誰でも知ることができる為、インストールするディレクトリによるセキュリティ強度は全く変わりません」

ディレクトリ構造を改変して撹乱（？になるかくらいですが）する方法もありますが、WordPressを使用しているか否か、が分かればどうとでもでき（これも結構簡単に分かる）
かつ、動かすことができないファイルまで動かすような魔改造を行ったWordPressは更新でエラーが出るため、更新を行わないといった本末転倒なことをしているケースも少なくない。
（※特定のディレクトリ内にそのファイルがなければ更新がうまくいかない）

セキュリティを強化する上で出来ることはやっておくべき

とのことで、ちょっと以前「導入時のセキュリティ対策」についての質問があったので、そちらを紹介しておきます。（若干手前味噌なので恐縮ですが）
最低限これだけはやっておこう、という対策は書いてあるので、一度目を通していただければと思います。
https://teratail.com/questions/35940

意外と多い、と感じるかもしれませんが、「一般的な」不正アクセスに対応するだけでもこれだけの工程は必要になります。
実際、Web上に出回っているWordPressに関するセキュリティ情報はちょっとお粗末なものが多いので、
セキュリティ関連の方の話でなければ、あまり真に受けないほうが良いです。

・ユーザーIDはadminから変えておけ、だの（全く無意味※リンク先参照）←（かなり昔のverでは強制的にこのIDになったそうですが）というかそもそもこういうIDを使っていること自体……
・ユーザーID１は使うな、というのも実際どうかと思う（サイト内の全ユーザーを検索するのは非常に簡単＋初期ユーザーのみ、WordPress上から大文字・すべての記号を使ったIDが作成できる※DBを直接編集すればこの限りではない）

リンク先の中で、結構盲点なのが
xmlrpc.phpへの不正アクセスです。wp-admin,wp-login.phpへの直接アクセスをブロックしていたり、ログインURLを変更していてもxmlrpc.phpからバイパス可能です。
また、リンク先では書いていませんが、ログイン時の認証キーを追加できるcaptcha系のプラグイン、Stealth Login Pageなどのプラグインもあるに越したことはないかなとも思います。

ご参考までに。

フロントエンドエンジニアの方からお聞きした話

想像ではありますが、ドメインを総当りするボットが、サイトのHTMLを勘案せずに（スクレイピングなど手間のかかることをせずに）アクセスしやすい（ファイルの場所を類推しやすい）から、という趣旨だったのではないでしょうか。

下記は設定ファイルへの直接アクセスになりますが、ログインの試行や、脆弱性が出たプラグインなどに直接アクセスすることが（比較的）容易だから、ということかと思います。

example.com/wp-config.php
example.com/wp/wp-config.php
example.com/wordpress/wp-config.php

ドメイン直下でなければ問題が無い、という話でもないので、セキュリティに気をつけるのはどこでも同じと思います。

【セキュリティの意識が高まるwordpressのプラグイン「crazy bone（狂骨）」 | うえせいWP.net by |合同会社うえせいや【大阪府堺市】】
http://www.uesei.net/2532

【WordPressのログイン履歴を保存するプラグイン「狂骨」を使ってみた ? no rock, no life】
http://nook-music.com/wordpress/2013/06/181935.php