Megpróbálom máshogy.
Az általad linkelt forrást megnyitva lehet találni egy jól hangzó adatsort, ami elsőre teljesen egyértelműnek tűnik. A saját bevallásuk szerint (lásd a számok utáni linket), az adatok onnan jönnek, hogy a CVE database-t leszűrték az adott CMS-re hivatkozó bejegyzésekre, és ezeket megszámolták. Eddig oké. A csavar ott van a sztoriban, hogy a WP-related CVE-k jelentős többsége nem a core WP-ről szól, hanem valami 3rd party pluginről. (Erről egyébként a te forrásod is megemlékezik, szóval itt sem mondtam semmi meglepőt.)
A kérdés az, hogy a ~végtelen számban gyártott foshalom WP pluginek által kitermelt CVE darabszám vajon ok-okozati összefüggésben áll-e a WP biztonságosságával, vagy csak arról van szó, hogy WP-re több az összehákolt, unsupported, igénytelen, stb. plugin, mint Plone-ra.