checkmarx publicerade en rapport som avslöjade att över 20% av de 50 mest populära WordPress-pluginsen, samt 7 av de 10 mest populära e-handelspluginsen, var sårbara för vanliga webbattacker som SQL injection och XSS. Rapporten, baserad på statisk kodanalys utförd i januari och juni 2013, visade att endast sex av de 50 skannade pluginsen hade åtgärdats helt sex månader efter att utvecklarna informerats. Artikeln ger råd till användare, såsom att endast ladda ner plugins från betrodda källor (t.ex. WordPress Plugin repository), hålla plugins uppdaterade och ta bort oanvända plugins. Rekommendationer ges även till plugin-utvecklare att integrera säkerhet i utvecklingsprocessen och till plattformsleverantörer som WordPress.org att införa säkerhetspolicyer och certifiera säkra applikationer. Författaren reflekterar över den långvariga diskussionen om plugin-säkerhet och behovet av ett valideringsteam för plugins, liknande det som fanns för phpBB-projektet.