Хорошо, область администратора всегда находится в / wp-admin, и мы представляем, что она использует аутентификацию сеанса, так почему бы вам просто не поместить фрагмент кода в индексный файл или любой другой файл, который вызывается при каждой загрузке страницы, котораяудаляет сеанс, если URL не начинается с / wp-admin Например:
if(substr($_SERVER['REQUEST_URI'], 0, 9)!='/wp-admin') {
session_destroy();
}