Самый эффективный способ - написай свой с 0. Да, а что? Нужно делать аудит кода. Обычно полно говнокода, за говнокод будет дороже. Пока тратится время и деньги в пустую, можно уже безопасный новый сделать.
А так, только аудит. Ручная проверка всего кода, всех функций и т.д. Понимание, что там и как работает, чтобы не упустить ничего лишнего. Кропотливая работа.
Облачный хостинг из TOP-3 - от 1 Gb ОЗУ, от 25 GB SSD.
Чистый WP скачанный из официального источника(касается всех официальных более менее развитых цмсок) проверять на шелы особой нужды нет, так как разработчики следят за кодом. Важно только обновляться когда выходит новая версия так как в них обычно закрываются разные найденые уязвимости. Ну а если нулл скачали то только программист вам в помощь(расплата за "бесплатно и без регистрации").
Razor,Если движок хоть немного популярный и берётся из официального источника, то его уже до вас сто раз проверили. Если что-то совсем кастомное - то или смиритесь с рисками, или не используйте. Перелопачивание кода будет слишком долго и дорого. Разве что антивирусом типа Linux Malware Detect прогнать на предмет чего-то совсем известного.