Im Abschnitt Sicherheitsaspekte wurden die nötigen Sicherheitsvorkehrungen bei einem Betrieb einer dynamischen Webseite detailliert vorgestellt. Leider ist kein PHP-Programmierer perfekt und das ein oder andere Sicherheitsproblem schleust sich auch in eine Software wie WordPress ein. WordPress liegt im Quellcode vor, was bedeutet, dass viele Personen über diesen Quellcode schauen und ihn auf mögliche Sicherheitslücken prüfen. Allerdings tun dies auch sehr gerne die Angreifer, da WordPress auf einer Vielzahl von Servern zum Einsatz kommt und dementsprechend eine große Anzahl an Server gekapert werden kann, wenn eine Sicherheitslücke genutzt werden kann. Deshalb ist es bei dem Betrieb von WordPress besonders wichtig, das WordPress-System beständig auf dem aktuellen Stand zu halten. WordPress verfügt über eine Auto-Update-Funktionalität, die dies ermöglicht.
Ebenso können Themes wie auch Plugins ein Einfallstor für Angreifer sein. Ein Theme oder ein Plugin erhält einen Komplettzugriff auf den Server, auf dem es installiert wird, da der Quellcode des Themes beziehungsweise Plugins ausgeführt werden muss. Schleust ein Angreifer unrechtmäßigen Code an dieser Stelle ein, so werden die Webseiten kompromittiert, die dieses Theme beziehungsweise Plugin installiert haben.
Das Team von WordPress beziehungsweise auch die Plugin-Entwickler, die dies teilweise auch mit kommerziellen Zielen tun, sind beständig darauf aus, die Angreifer schon im Vorfeld zu identifizieren und auch dem zentralen Theme- und Plugin-Verzeichnis zu entfernen. Dies hat in den letzten Jahren recht gut geklappt. Trotzdem kann es sein, dass ein Angreifer durch das Sicherheitsnetz schlüpft. Es ist deshalb ratsam, nur diejenigen Themes und Plugins zu installieren, die wirklich benötigt werden und desweiteren auch darauf zu achten, dass die Updates, die für diese vorliegen, installiert werden.