WordPress держит большую долю сайтов в интернете — поэтому старые версии постоянно сканируют боты. Отключить обновления «чтобы ничего не сломалось» значит оставить сайт открытым для массовых атак.
Ядро закрывает критичные уязвимости
Команда WordPress выпускает security-релизы, в том числе для веток, которые уже не получают новых функций. Пропущенное обновление ядра — прямой путь к deface, редиректам на сторонние сайты и заражению через известные CVE.
Тема и конструктор — не менее важны
Elementor, WooCommerce, популярные темы — отдельные продукты со своими ошибками. Обновили только ядро, а старый плагин форм или слайдера оставили — уязвимость остаётся. Обновлять нужно всё, что установлено и активно.
Автообновления — не панацея
Автообновление minor-версий ядра полезен, но major-релиз и смена PHP на хостинге могут сломать сайт с кастомным кодом. Правильная схема: бэкап → проверка на копии → обновление на рабочем сайте в спокойное время.
Что будет, если не обновлять годами
- Сайт попадает в базы «уязвимых WordPress» — атаки идут пачками.
- Хостинг блокирует домен за спам или исходящий трафик ботнета.
- Плагины перестают поддерживать вашу версию PHP — обновиться уже некуда без миграции.