Seus plugins e temas escritos por terceiros são recheados de brechas, na maioria das vezes intencionais, que piratas virtuais exploram para injetar vírus, códigos maliciosos ou mesmo para tirar da rede sítios que denunciem crimes e abusos de todo tipo.

Os provedores de hospedagem comerciais fazem varreduras de códigos maliciosos periódicas usando um pacote chamado CLAMAV, um “software” livre, nas pastas dos usuários e se encontram qualquer arquivo com extensão .php tendo nome com letras aleatórias ou números e letras, ou então com extensão .ico, suspendem a conta do usuário e tiram os sites do ar e ainda obrigam o cliente a limpar seus arquivos e pastas.

A única maneira de usar o WordPress sem ter problemas e com controle absoluto é em um servidor próprio.