Wordpress является достаточно безопасным и устойчивым продуктом. Любые найденные уязвимости быстро отслеживаются и исправляются разработчиками. Именно поэтому в плане безопасности Wordpress ничуть не хуже любой другой системы управления контентом с открытым исходным кодом.
Каких-либо крупных и глупых ошибок, свойственных новичкам, в Wordpress нет, ведь команда разработчиков достаточно профессиональна. Поэтому взломать сайт на Wordpress через какие-то уязвимости очень сложно.
Что касается установленных плагинов, то риск здесь есть, хотя небольшой. Все плагины, которые добавляются в официальный репозиторий Wordpress и доступны для установки в админке, проходят тщательную проверку перед тем, как плагин опубликуют для публичного пользования. Если в процессе проверки окажется, что плагин несет в себе угрозу безопасности, то его попросту не опубликуют. Вероятность размещения такого плагина очень мала. Другое дело, когда вы устанавливаете на сайт Wordpress плагины не из официального репозитория, а с каких-то сайтов. В этом случае вероятность взлома сайта через уязвимость в плагине или специально вшитом в него вирусе, очень большая. Особенно это касается новичков, которые создают сайт на Wordpress, ставят многочисленные плагины, не имея основного представления о безопасности, намеренно подвергая свой сайт взлому. Через уязвимость или вирус в плагине могут быть похищены любые данные сайта: пароли для доступа в админку, пароли всех пользователей сайта, контент.
То же самое касается и тем для сайтов Wordpress, которые начинающие пользователи любят устанавливать и менять на своих сайтах больше чем плагины. Обычно, злоумышленники вставляют в темы не только вредоносные скрипты с целью похищения данных, но и специальные скрипты, с помощью которых производится накрутка посещаемости чужих сайтов, накрутка рекламы, либо же показ чужой рекламы прямо на вашем сайте, за счет чего злоумышленник получает деньги.
Теоретически, можно взломать абсолютно любую систему управления контентом, но практически все опасные уязвимости уже исправлены или быстро исправляются после обнаружения. Поэтому, сильно бояться не стоит.
Вообще не стоит париться по этому поводу. Вордпресс разрабатывает целое комьюнити и если баги есть, то быстро правятся. Особенно если это серьезные уязвимости. Но они как правило из-за сторонних плагинов и тем. Но так про любую cms можно сказать.