No creo que sea malo para WordPress, las vulnerabilidades existen en cualquier sistema, CMS, etc, etc. Recuerda el asunto de Timthumb tambien fue bastante escandaloso en su día o el reciente Heartbeat pero no afectaron la reputación de WordPress.

Lo que si estaría a discusión, sobre todo para los marketplaces tipo Envato, es que política tomaran en cuanto a actualizar los plugins que se incluyen en los temas que venden. Ahora cualquier tema que se vende en Envato viene con 2 o 3 plugins de terceros por default. Lo mejor seria darle la opción al cliente de que quiere usar y que el cliente sea el responsable de mantener actualizado sus plugins themes, pero eso ya es otro tema totalmente diferente.

Por otro lado, volviendo a la vulnerabilidad, si conseguí varios wp-config.php con sus credenciales y todo, pero el tener los datos de conexión a la DB realmente no te ayuda mucho el 99% de los servers no permiten conexiones a DB remotas, todas son "localhost" o apuntando a una IP interna de su red "192.xx.xx.xx", esa es la "buena" noticia dentro del todo el embrollo.