Především je třeba rozlišovat chyby v jádře WP a chyby v doplňcích, které dělá kde kdo. Linuxový kernel má také spousty svých chyb, které se stále opakují a jejich dopady jsou mnohem závažnější:
http://www.cvedetails.com/product/47/Linux-Linux-Kernel.html?vendor_id=33
- pro srovnání http://www.cvedetails.com/product/4096/Wordpress-Wordpress.html?vendor_id=2337
To že někdo udělá XSS nebo SQLi není podle mě záležitost jazyka - poslat formulářové políčko rovnou do DB lze všude. SQLi ASP.NET aplikaci jsem naposledy nalezl minulý týden, XSS v Java EE web aplikaci taktéž.
Pro pořádek, nerad bych se pouštěl do nějakých brutálních hádek - na všech vašich argumentech je trocha pravdy, snažím se jen názory zkreslené do negativna dorovnávat svými názory zkreslenými do pozitivna.