Em Junho de 2007, Stefan Esser, o fundador do ''PHP Security Response Team'', criticou os relatórios de segurança, citando problemas com a arquitetura da aplicação que tornavam difíceis a escrita de códigos seguros, além de outros problemas.<ref>{{cite web|url=http://blogsecurity.net/wordpress/interview-280607/ |title=Blog Archive » Interview with Stefan Esser |publisher=BlogSecurity |date=2007-06-28 |accessdate=2010-06-15}}</ref>
Em Junho de 20012011 a rede wordpress.org foi alvo de ataques. Várias modificações em plugins populares foram observados, algumas contendo códigos maliciosos; as modificações foram revertidas por serem visivelmente suspeitas<ref>{{cite web|url=http://wordpress.org/news/2011/06/passwords-reset/ |title=Passwords Reset |publisher=Blog Security |date=2011-05-21 |accessdate=2011-08-05}}</ref>. Por precaução, a senha de acesso à rede wordpress.org de todos os usuários precisou ser redefinida<ref>{{cite web|url=http://tecnologia.uol.com.br/ultimas-noticias/redacao/2011/06/22/falha-de-seguranca-obriga-usuarios-do-wordpressorg-a-mudar-senhas.jhtm |title=Falha de segurança obriga usuários do Wordpress.org a mudar senhas |publisher=UOL Notícias |date=2011-06-22 |accessdate=2011-08-05}}</ref>.
Desde então, o WordPress tem melhorado em termos de segurança e as últimas versões tem relatos mínimos de vulnerabilidades.
