Стандартные настройки WordPress не очень-то безопасны

— объясню почему:

авторы WordPress не ищут простых путей, и, вместо того, чтобы убедиться, что WP сможет записать файлы в каталог wp-content/plugins (например), тщательно сверяют владельцев исполняемых .php-файлов с владельцами файлов, временно создаваемых самим WP. При несовпадении владельцев, установка плагинов и пр., будет предлагаться с использованием FTP. Применение FTP, в 21-м веке, это отдельная тема для facepalm’ов, но если вкратце — не надо. Тем более, что WP можно настроить на режим «просто пробуй записать и всё», определив константу FS_METHOD как 'direct' в wp-config.php:

define('FS_METHOD', 'direct');

Это не какое-то тайное знание, но явно не очень распространённое, и поскольку процедура установки без FTP гораздо удобнее (да и на некоторых хостингах FTP уже вовсе нет), то интернет-блоги/форумы пестрят многочисленными рекомендациями поменять владельца всех файлов WordPress на того пользователя операционной системы, под которым работает Web-сервер — обычно это может быть www-data, nginx, nobody, а то и, к пущей радости copy-paste’ров, некий пользователь, которого хостер-провайдер создал для этого конкретного сайта. По-сути, это — рекомендации облегчить взлом, — если веб-сервер выполнит какой-то код атакующего, то он сможет переписать любой файл самого WordPress’а — ибо владелец (как правило) свои файлы переписывать может. Если же пользователи владельца файлов и процесса Web-сервера разные, и права доступа разрешают Web-серверу только чтение, то развитие такая атака не получит. Вообще, защита WordPress это отдельная тема, на которую тоже можно будет дополнительно поговорить позднее.