> К вопросу о небезопасности WordPress:

скорее к вопросу о подмене понятий.

WordPress 4.7.1 contained multiple vulnerabilities that were eventually used to deface those sites.

все что надо знать о качестве кода и наличии разума у разработчиков.

> В целом - как и много где: озаботиться установкой регулярный обновлений -

а писать такой код, который не надо раз в день обновлять - макаки, разумеется, не умеют. Что дырявый код является дырявым _независимо_ от того, уже исправила его макака в следующей послеследующей версии, или еще даже не в курсе о дыре (а кто-то уже может быть вполне и в курсе) - макакам в голову не приходит?

Но это еще цветочки, вот йагодки: оказывается, стратегия "обновляться, обновляться, каждые пять минут"...ведет к еще большему факапу:
Recently, there have been some instances where hackers gain access to sites through a nasty trick called a supply chain attack. Essentially, the malicious actor would:

    Purchase a previously high-quality plugin listed at WordPress.org
    Add a backdoor into the plugin’s code
    Wait for people to update the plugin and then inject the backdoor

ведь верифицировать весь мусор, который они заботливо хостят (или хотя бы ту часть, которая ставится больше чем одним инвалидом), разработчикам лениво, им так мало платят...

И что же они нам предлагают делать? АААА! Поставить чудо-плагин, который следит за тем, как с сайта вротпресса вовремя (нет) удаляют бэкдоренные плагины. Что делать если этот плагин был не для раскрашивания страничек в розовенький цвет, а для того и поставлен, что содержит существенную для сайта функциональность - науке неизвестно.

> много кому лениво, но йад и гуано выливается на разрабов.

много кому не "лениво", а просто нет физической возможности угнаться за кодошлепами - ведь макаки еще и не могут просто исправлять уязвимости в версии трехлетней давности (что за г-но у вас сайт, три года ни одной радикальной переделки, правда?), нет, что вы - надо непременно еще наляпать ведро гуанокода, поэтому любой такой апдейт, внезапно, может привести к неработающему сайту - сломаются плагины, сломается самодельный код, и все это ты будешь, конечно же, быстро-быстро чинить при неработающем сайте и довольных пользователях. Сразу на всех ста сайтах, которые имел глупость завести под вротпрессой.

В общем, если эта статья - официальное мнение разработчиков этого шлака - то это как раз АБСОЛЮТНО неоспоримый аргумент в пользу "бегите, глупцы!".

Куда-нибудь, где разрабтчики не такие самовлюбленные идиоты, и не перекладывают на пользователя собственные ляпы.