Boa tarde,
Olha, na minha opinião, ou confia no código ou não confia. Uso DigitalOcean e não altero uma vírgula do código – o que faço é acrescentar algumas linhas para blindar o WordPress, elevar a segurança do código.
Qualquer framework de site tem arquivos que manipulam o servidor, seja WordPress, Joomla, php, js. Até um form como o Contact Form 7 pode ser manipulado para uso malicioso de spam.
O problema é o nível de segurança que você dá para seu site. Como você gerencia as permissões de arquivos? Como você previne roubo de senhas no computador que acessa o WordPress? Qual o nível se segurança de suas senhas de servidor, ftp e usuário no WordPress?
Veja os artigos abaixo sobre isso,
http://www.startabloglab.com/wordpress-security-checklist/
http://www.labnol.org/internet/wordpress-optimization-guide/3931/
Eles mostram ações adicionais para blindar a segurança e fortalecer todos os elos de ataque, o que envolve também seu computador. Eu, para tirar o máximo de performance e segurança, uso DigitalOcean com acesso SFTP e WP-CLI, em Ubuntu 14.04, tanto nas minhas máquinas (notebook e desktop com dual boot com Windows 8) como no servidor da DigitalOcean. Fora isso, para gestão de senhas tanto no Ubuntu como no Windows uso o Keeper Security no navegador Google Chrome, assim não preciso digital uma única senha após digitar a senha mestra, que é uma senha que só uso exclusivamente para ativar o Keeper.
Para testar se seu site pode sofrer ataque devido o XML-RPC, veja o tutorial abaixo, tem uma ótima dica de testar chance de ataque,
https://fooplugins.com/prevent-wordpress-pingback-ddos/
O Wiki da Locaweb eu vejo mais para leigos, pois um usuário que apenas comprou um site que foi desenvolvido em WordPress ou está criando um “quebra-galho” não tá nem aí qual é a última versão do WordPress, brechas de segurança, atualização de temas e plugins, segurança de senha (qual o problema de ser 123abc ou outra senha ridícula?) e segurança do computador contra vírus e trojans (que não se limita a colocar um anti-vírus e firewall e ficar com comportamentos de risco, como acessar sites de pirataria, pornografia ou que tem anúncios maliciosos, especialmente com instalação de arquivo EXE, que é a coisa mais imbecil que alguém pode fazer contra sua própria segurança).
Saudações,