Eu acho que é isso que ele está dizendo. Tenho ajudado auto-hospedeiros desde 2017, alguns dos quais têm sido muito irresponsáveis (como não atualizar nada por anos). Como eu ganho uma boa parte da minha vida apoiando auto-hospedeiros, eu, é claro, tenho uma opinião diferente.
O único problema que vi com segurança foi com um administrador que estava fazendo coisas como ocultar elementos com css em um componente de tema e depois cobrando para “consertar”. Ele também executou um Post.destroy_all no console do rails e, bem, destruiu muitos posts. (Eu consegui restaurar pelo menos a maioria deles a partir de um backup.) Eu não estou ciente de alguém ter tido um banco de dados roubado (exceto por alguém que foi pago para ter acesso ao banco de dados).
O Discourse faz um trabalho notável em segurança. Executar o wordpress é muito mais perigoso do que executar o discourse. Eu não acho que alguém deva fazer isso.