Hoewel je WordPress grotendeels buiten de root van jouw website kunt installeren, heeft WordPress altijd een groot deel van haar code in de root staan. Alles in de root van jouw webserver is zichtbaar van buitenaf. Door simpelweg om bepaalde bekende bestanden te zoeken, kan een hacker al snel uitvinden dat je toch WordPress gebruikt.
Hoewel er plugins voor zijn die je grotendeels helpen, is het een enorme klus om WordPress zo ver uit elkaar te halen dat het gros van WordPress niet te vinden is. Het kost dus heel wat uurtjes. Daarnaast loop je het gevaar dat alles, na een WordPress update, weer ongedaan is gemaakt. Een ander risico is dat bepaalde plugins en thema’s niet of niet goed functioneren wanneer je WordPress hebt verstopt. Dit zijn met name slecht ontwikkelde plugins en thema’s. Het zal je verbazen hoeveel het er zijn en hoeveel websites hier van afhankelijk kunnen zijn.