In der Regel liegt es nicht an WP selbst, sondern an Plugins oder Themes.
Das ist es. WordPress „verführt“ leider auch dazu, dass man sich alles Mögliche an Plugins installiert, weil es so viele Möglichkeiten gibt und alles mit einem Klick installiert ist. Ich sehe häufiger WordPress-Installationen mit locker 30, 40 installierten Plugins, wo selbst der Betreiber bei der Hälfte nicht einmal sagen kann, wofür eigentlich. Und dann wundert man sich über Sicherheits-Probleme. Es gibt halt leider auch ein Qualitätsproblem mit vielen Plugins. Das gepaart mit der Popularität von WordPress, was WordPress zu einem beliebten Angriffsziel macht, ist eine ungünstige Kombination.
Aber grundsätzlich kann man auch WordPress sicher nutzen. Ich nutze für meinen Blog selbst WordPress. Aber bei der Auswahl der Plugins bin ich sehr kritisch. Es werden ein paar große Plugins eingesetzt, von denen ich weiß, dass da seriöse Unternehmen dahinter stehen, und die selbst zu entwickeln viel zu aufwändig wären (Yoast, WP Rocket, u.a.). Ansonsten wird sehr genau geschaut, was überhaupt benötigt wird. Lieber ein Plugin weniger als eines mehr. Und wenn ich die Möglichkeit habe, entwickle ich lieber selbst als irgendwem zu vertrauen. Auch das Theme ist selbst gebaut. Es geht dabei weniger darum, dass ich jemandem böse Absichten unterstelle, auch wenn es das natürlich auch gibt. Aber WordPress steht nun einmal sehr im Fokus. Bei meinem Code weiß ich wenigstens ganz genau, was passiert.
Für Kunden-Projekte gibt es aber auch keine WordPress-Lösungen von mir, da wird ausschließlich auf Pimcore gesetzt. Das ist sehr viel mehr Aufwand, weil das immer mit Individual-Lösungen verbunden ist, aber in meinen Augen ist es das absolut wert.