Creo que eso es lo que está diciendo. He estado ayudando a los autoalojadores desde 2017, algunos de los cuales han sido muy irresponsables (como no actualizar nada durante años). Como me gano la vida en gran parte apoyando a los autoalojadores, por supuesto que tengo una opinión diferente.
El único problema de seguridad que he visto fue con un administrador que estaba haciendo cosas como ocultar elementos con css en un componente de tema y luego cobrar por “arreglarlo”. También ejecutó un Post.destroy_all en la consola de rails y, bueno, destruyó muchas publicaciones. (Logré restaurar al menos la mayoría de ellas a partir de una copia de seguridad). No tengo conocimiento de que a nadie le hayan robado una base de datos (excepto por alguien a quien se le pagó para tener acceso a la base de datos).
Discourse hace un trabajo notable en seguridad. Ejecutar wordpress es mucho más peligroso que ejecutar discourse. No creo que nadie deba hacer eso.