Creshal schriebWordpress selber hat gar nicht mal soo viele. Die meisten sind in schlampig gecodeten Addons.
Hatte erst vor kurzem einen Einbruch in eine Wordpress-Installation festgestellt in der ganze Datenbank-Dumps heruntergeladen wurden. So passiert über "Askimet", einem - wie du eben schon sagtest - Addon. Hatte zwar /wp-admin per http auth abgesichert, aber /wp-login.php nicht. Und siehe da, über die Passwort zurücksetzen-Funktion hat sich der Angreifer Zugriff verschafft. Wie verstehe ich bis heute nicht, da ich zwar eine Mail bekommen habe dass ich mein Passwort angefordert hätte, aber der Angreifer nachweislich (nach Maillog) keine Email erhalten hat. Kurz nach dem Aufruf der Passwort-zurücksetzen Seite war er auch schon als administrativer User drin und hat fremden PHP-Code eingeschleust um das Dateisystem zu browsen.
Bin daher neuerdings etwas paranoid was Wordpress angeht und sperre sogut wie alles aus.