Уязвимости в WP фиксятся с той же скоростью, с которой обнаруживаются.  Поэтому платформа хорошая, только следует избегать первых версий в ветви (т.е. 4.6, 4.7) и дожидаться отлаженных (4.6.2, 4.7.2) -- тогда и проблем не будет.

А исполнители, пеняющие на страшные слова "уязвимость" и игнорирующие факт исправления этих уязвимостей, имеют серьёзные проблемы с логикой.  От этого у них постоянно происходят затруднения с исполнением и срыв сроков, а продукты оказываются сырыми и не поддающимися поддержке и/или доработке.  "Виноват" в этом обычно PHP и WordPress, а также "глупый зак", который сделал заказ именно таким образом.
Нанимать таких исполнителей нельзя.