אחד מסיכוני האבטחה אשר פחות שמים לב אליהם באתרי וורדפרס, הוא סיכון הנובע מאחד או מספר פלאגינים המותקנים ופועלים באתר. פלאגין וורדפרס המהווה סיכון אבטחה באתר, לרוב מגיע מאתר מפוקפק המספק פלאגינים לוורדפרס, או כתוצאה מהיעדר עדכון פלאגינים אשר הופכים למיושנים ואף הוסרו מרשימת הפלאגינים הרשמיים לוורדפרס עקב בעיות שהתגלו בהם.
אחת הדוגמאות לפלאגין וורדפרס המהווה סיכון אבטחה לאתר, הוא פלאגין אשר עושה שימוש בצד שלישי על מנת להציג מידע באתר. לכאורה, אין עם זה בעיה, כל המידע מצד ג' רלוונטי ואינו מזרים גם קוד זדוני לאתר הוורדפרס, אך הבעיה מתחילה כאשר למשל אותו אתר צד ג' המספק את המידע – נסגר, או נמכר לגוף אחר אשר מחליט להשתמש במידע כדי לצרף אליו גם נוזקות או ספאם. דוגמא לכך היא פלאגין בשם SweetCaptcha אשר בשנת 2015 גרם להופעת פופאפס ספאם באתרי וורדפרס.
אתר Sucuri חקר שני פלאגינים אשר התברר כי הם מהווים סיכון אבטחה באתרי וורדפרס: GoogleBot user agent (כתובות מקוצרות של גוגל) ו- Facebook-This Plugin. מהממצאים עולה תמונה עגומה של שני פלאגינים תמימים לכאורה, אשר בפועל יצרו דלתות אחוריות, מהן ניתן היה להפיץ דרכו ספאם. ההמלצה היא להסיר את הפלאגינים הללו, היות והאפשרויות לפרוץ דרכן לאתר ולהפיץ ממנו ספאם – עדיין לא התבררו לחלוטין. המלצה נוספת היא לעבור על כל הפלאגינים הפועלים באתר וורדפרס ולהסיר את אלו שאינם בשימוש, את אלו שלא עודכנו בשנה האחרונה ואת אלו שהוסרו מרשימת הפלאגינים הרשמיים של וורדפרס.