Die "Two-Factor Authentication" ist kein Alleinstellungsmerkmal von WordPress. Das wird zunehmend wichtiger für jede Art von Account, der schützenswerte Daten enthält. Ich selbst sehe das eher als beruhigend an, wenn mein Login hin und wieder auch ein Token braucht. Es kommt ja dann auch nicht jeden Tag vor, dass man das eingeben muss. Das Setup von Cloudflare macht man auch nur einmal und dann kann man das schon wieder vergessen. Zudem bekommt man soviel dafür "geschenkt", dass es den Aufwand wieder rechtfertigt.
Ich würde behaupten, dass es nicht die Software ist, die dazu führt, dass Dein Shop häufiger Ziel von Attacken ist, sondern bestimmt die steigende Popularität Deiner Website den Ausschlag dafür gab. Ob WordPress die richtige Wahl für einen Shop ist, kann man pauschal nicht sagen. Das ist eine Frage, die man nur mit "Kommt drauf an." beantworten kann. WordPress habe ich bereits in Banken und Verlagen verwendet. Attacken sind da naturgemäß an der Tagesordnung, aber mit den entsprechenden Vorkehrungen läuft alles meist perfekt.
Einen Sicherheitsexperten kann ich nicht empfehlen. Vielleicht kann jemand anderes hier im Forum etwas dazu sagen...