פרצות אבטחה בפאנל ניהול וורדפרס הינן גורם נפוץ למתקפות האקרים. לוורדפרס קיימים תוספי אבטחה רבים אשר יכולים לשפר מאוד את אבטחת האתר, אך האחריות של מנהל האתר להתקין ולהגדיר את מערכי האבטחה וכן לעדכן אותם כל פעם שיוצא עדכון אבטחה חדש. מנהלי אתרי וורדפרס אינם ששים להתמודד עם איומי אבטחה ועם תוספי אבטחה ובמקרים רבים, לטענת אתר SUCURI, מתמודדים מנהלי אתרי וורדפרס עם פרצות אבטחה רק לאחר שהתרחשה פריצה לאתר.
חשוב להבין כי קיימות מספר תצורות ברירת מחדל עיקריות בוורדפרס המעמידות אותה בסיכון, ללא שימוש בתוספי אבטחה או חומת אש: דף הכניסה לפאנל הניהול פתוח באינטרנט לכל אחד, אין הגבלה על ניסיונות כניסה כושלים, לא קיים אימות מרובה גורמים וכן, כברירת מחדל, האפשרות "הצג שם ציבורי" זהה לשם המשתמש אלא אם כן השם הפרטי מולא, מה שעוזר להאקרים לנחש את שם המשתמש. מכאן, ניתן לראות התנהגות צפויה של האקרים כאשר שימוש בפרצת אבטחה טיפוסת של וורדפרס תיראה בערך כך: מתקפת Brute Force תכנים את ההאקר לפאנל ניהול מערכת וורדפרס, ההאקר יתקין תוסף למנהל קבצים, יעלה דלת אחורית או webshell, יוריד את הנוזקה לאתר. די פשוט למעשה, אותם ניתן להימנע ממספר רב של פרצות אבטחה אלו באמצעות שינויים פשוטים מאוד כגון תוספי אבטחה ושירותי אבטחה רבים ושונים שיכולים להפוך את האתר לפחות חשוף להתקפות מסוג זה. רבים מהם אינם כרוכים בתשלום, אך אף אחד מהם אינו כלול בהתקנת ברירת מחדל של וורדפרס. לחברת Automatic למשל, יש תוסף בקוד פתוח בשם JetPack אשר מתייחס למספר בעיות תצורת ברירת המחדל שתוארו לעיל. התוסף נמצא בשימוש על ידי למעלה מ- 5 מיליון אתרי וורדפרס ומעניק למנהלי האתר את האפשרויות: אימות מרובה גורמים, מיתון התקפות Brute Force. יש לזכור כי JetPack אינו כלול כברירת מחדל בוורדפרס וצריך להתקין ולהגדיר אותו. שני התוספים היחידים שקיימים כברירת מחדל בהתקנת וורדפרס טרייה הם: היי דולי, Akismet (אנטי ספאם). הכללת התוסף Akismet הייתה ניסיון לטפל בבעיות כרוניות של ספאם והתוסף נכלל כברירת מחדל בכל בניית וורדפרס מאז גרסה 2.0 (שוחררה ב-2005), אך עד כה לא ננקטה פעולה כדי לדחוף משתמשים לכיוון 2FA.
אימות רב-גורמי – Two Factor Authentication – 2FA צריך לבוא כברירת מחדל לאחר התקנת פלטפורמת וורדפרס. אין זה נחשב כלל כמהלך תקדימי כלשהו אלא כמהלך טריוויאלי שנועד להפוך את האינטרנט לבטוח יותר עבור כולם: בעלי אתרי וורדפרס והמשתמשים באתרים אלו. חלק מהפילוסופיה של וורדפרס היא שדברים יעבדו "Out of The Box" וליצור כמה שפחות מחסומים כדי להקל על השימוש. שמירה על עקרונות הליבה הללו היא אחת הסיבות לכך שפלטפורמת וורדפרס מצליחה כל כך. עם זאת, יצירת כמה שפחות מחסומים היא כביש דו-סטרי: זה גם אומר יצירת פחות מחסומים גם עבור האקרים. בעוד שמצד אחד עשויים להיות אתרים נטושים עקב נעילת אדמין, האלטרנטיבה היא שאותם אתרים ממש נפגעים ומשמשים להפצת תוכנות זדוניות. גם אם משתמש ננעל מחוץ לפאנל הניהול שלו, די קל לפתור את הבעיה או (זמנית) להשבית את 2FA כדי לקבל גישה מחדש. מכאן שניתן לומר כי הבעיות הכרוניות של התקפות Brute Force ופריצת פאנלי ניהול וורדפרס עומדים בסתירה עם הפילוסופיה של "קלות השימוש", אפילו יותר מ- 2FA פשוט.