Не так давно шла речь про безопасность WordPress

И вот в подтверждение тезиса о том, что WordPress должен быть ограничен в возможности записи в свои собственные файлы-каталоги, новость о том, что “Популярный плагин для WordPress содержит в себе бэкдор“. Вообще говоря, понятно, что совсем лишать WP такой возможности, значит сделать его крайне неудобным — запись в wp-content/, как говорится, “must have”. Но остальные части вполне могут, и должны быть закрыты. Кроме того, несложными настройками WEB-сервера, будь-то Nginx, или Apache, можно ограничить выполнение PHP-запросов, в частности, запретить их в том самом wp-content.