У меня есть одна патченная сборка WordPress, но из-за NDA я не могу её открыть.

плагины к WordPress в основном плодятся от безысходности

С этим не соглашусь. На мой взгляд, в ядро не стоит запихивать все подряд — смысл туда помещать то, чем будут пользоваться 10% пользователей? Достаточно развитой системы фильтров/хуков. Но это моё ИМХО.

Возьмем очень простой пример: разместить в сайдбаре счетчик и какой-нибудь php-код.

Текстовые виджеты никто не отменял. А размещать произвольный PHP-код — это небезопасно: если через уязвимость ядра/темы/плагина злоумышленник сможет получить доступ к базе, он в этот произвольный PHP-код может запихнуть свой шелл-код. Который потом будет непросто обнаружить.

P.s.
В MaxCMS большой напряг с плагинами — в WordPress с этим проще.
Цитата: «Ну да, если сравнивать абсолютное количество, то WordPress безусловный лидер. Правда есть один немаловажный фактор: плагины к WordPress в основном плодятся от безысходности. Возьмем очень простой пример: разместить в сайдбаре счетчик и какой-нибудь php-код.

[пояснение]

Ну и будет ли блогер в MaxSite CMS бегать и искать другие плагины для вывода рубрик или размещения счетчиков?»

MaxSite CMS мне очень не нравится с её подходом к безопасности. Особенно функция mso_checkreferer(). Во-первых, она криво работает со всякими фаерволами, которые блокируют Referer, а во-вторых, она абсолютно не защищает от подмены Referer. Её реализация при должном навыке атакующего никак не защитит от CSRF (ради которого всё и делалось).

Я детально не заглядывал в код, но у меня есть подозрения по поводу возможных XSS-уязвимостей (XSS в традиционном понимании).

В MaxCMS большой напряг с плагинами — в WordPress с этим проще.

К тому же у меня есть свои сомнения по поводу её использования на сильно нагруженных сайтах (поддержка транзакций, репликации, возможность масштабирования).

Ну и заниматься поддержкой нескольких систем мне хочется меньше всего — если что идёт не так, меня заказчики по ночам будят