¿Las versiones antiguas de Wordpress todavía son seguras?

En la práctica, sí

Hubo un error XSS (la vulnerabilidad XSS se descubrió en los archivos de respaldo de Flash en MediaElement), afectando a todas las versiones desde WordPress 3.7 (en el punto en que se descubrió, por supuesto).

enlace

El equipo de Wordpress lo corrigió y lanzó la versión 4.9.2 para repararlo en la rama 4.9. También lanzó la versión 4.8.5, 4.7.9, 4.6.10, 4.5.13, 4.4.14, 4.3.15, 4.2.19, 4.1.22, 4.0.22, 3.9.23, 3.8.25 y 3.7. 25 para arreglar las respectivas ramas.

Puede ver fácilmente los cambios y ver que son backports que cubren este mismo problema.

Por lo tanto, si actualiza a una versión más reciente de esas "versiones antiguas", estaría bien ... si hubiera parches.

Ahora, lo que necesita es permanecer en una versión para la cual alguien (preferiblemente el equipo de Wordpress) emitirá una solución si se descubre una nueva vulnerabilidad que la afecte. Esto está documentado en enlace

Y allí dicen:

  

La única versión actual soportada oficialmente es WordPress 4.9.1. Las principales versiones anteriores antes de esto pueden o no obtener actualizaciones de seguridad a medida que se descubren vulnerabilidades graves.

     

Política de asistencia

     

WordPress contará con actualizaciones de seguridad cuando sea posible, pero no hay garantías ni plazos para las versiones anteriores. No hay un período fijo de soporte ni una versión de soporte a largo plazo (LTS) como Ubuntu. Ninguno de estos es seguro de usar, excepto la última serie, que se mantiene activamente.

Por lo tanto, no ofrecen ninguna garantía de que continuarán haciéndolo en el futuro, pero están solucionando los errores de seguridad (no hay nuevas características, por supuesto). Con respecto a la versión 4.7.9, tenga en cuenta que el paquete de wordpress estable de Debian también utiliza la serie 4.7 y es probable que esta rama continúe recibiendo correcciones de seguridad (tanto por el equipo de wordpress como por los mantenedores en sentido descendente) durante bastante tiempo.

Dado esto, no consideraría que el webmaster se actualice a 4.9.2 si ya están en 4.7.9, ya que los problemas de seguridad se han solucionado. Ellos están actualizando su wordpress. Los webmasters perezosos son aquellos que instalaron 4.3.5, y todavía están ejecutando esa versión.

El hecho de que se hayan actualizado no significa que todas las vulnerabilidades de seguridad hayan sido parcheadas. Dado que WordPress es de código abierto y de uso gratuito, es probable que tengan un presupuesto razonablemente ajustado y un equipo de desarrollo limitado. Siendo ese el caso, siempre priorizarán las versiones más nuevas primero con respecto a los parches de seguridad.

Además de simplemente dar prioridad a las versiones más nuevas, puede haber fallas inherentes en los diseños de las versiones anteriores que introducen vulnerabilidades que se corrigieron en las versiones más nuevas al rediseñar los atributos principales del sistema.

Me disculpo por la generalidad de mi respuesta ya que rara vez he usado WordPress en mi vida, pero sigo confiando en que mi respuesta es precisa. De una forma u otra, confiaría en un sitio dedicado a encontrar vulnerabilidades en WordPress y si dicen que deberías actualizar, es posible que solo quieras actualizar.

Espero que ayude!

Este es su único argumento: los propios Wordpress dicen que necesita actualizar a 4.9.2 para obtener el parche de seguridad. Ese mensaje se proporciona en el enlace que publicaste.