Ich gebe Dir Recht, dass eine weit verbreitete Software-Lösung natürlich ein lohnenderes Angriffsziel als ein weniger weit verbreitetes Programm.

Allerdings gibt es durchaus Dienstleister, die die Sicherheit einer Software bewerten, wie beispielsweise Secunia, da werde ich stutzig bei ungepatchten Sicherheitslücken und das sind bei WordPress doch eine ganze Menge.
„WordPress 2.x“:http://secunia.com/advisories/product/6745/?task=statistics
„Serendipity 1.x“:http://secunia.com/advisories/product/12371/?task=statistics