Вордпресс очень уязвим и его взлом — дело времени
Самое уязвимое место WordPress - это юзер. Около 90% взломов - примитивный брутфорс пароля для логина admin. Из оставшихся 10% - 9,99% это установка "зануленных" тем и плагинов из ненадежных источников, установка просто низкокачественных плагинов и тем (в том числе тех, которые используют дырявые сторонние библиотеки типа timthumb), копипаста некачественного кода из интернетов чтобы "добавить эту фишечку" etc. И только 0,01% - это действительно, какие-то редкие баги в самом WP или качественных и популярных плагинах. Обычно по мере обнаружения о них трубят на каждом углу и заплатки выходят в считанные часы. Учитывая, что WP движет четверть сайтов в мире, а WP+WooCommerce - треть интернет-магазинов - количество попыток взлома колоссальное. Так что несколько найденных и быстро прикрытых дырочек в год - это как раз очень хороший показатель безопасности системы, а не наоборот.
