WordPressに脆弱性が見つかると、セキュリティメンテナンスがリリースされます。
できれば自動アップデートを有効にし、あるいは手動でアップデートを行ってセキュアに保つ必要があると思います。
しかしこのセキュリティアップデート、古いバージョンを使っている場合は対象外なのでしょうか?
結論から言うと、古いバージョンでも提供されています。
セキュリティメンテナンスの対象
いかのページに、リリースされている全バージョンが掲載されています。
https://codex.wordpress.org/WordPress_Versions
これを見ると、3.7以降は直近までのセキュリティメンテナンスがリリースされています。
3.7より前のバージョンについては、新しいバージョンが出るとセキュリティメンテナンスリリースも含めて凍結されているようです。
3.7以降をお使いの方は、少なくともWordPress本体のセキュリティについてはセキュリティーリリースを適用していけば、他のバージョンで見つかった脆弱性を元に攻撃されるなどということもなく、ある程度の担保はされるようです。
最新バージョンで適用された修正を、過去のバージョンでも適用可能とは限らないと思い比較してみましたが、3.7.8から3.7.18のセキュリティメンテナンスリリースには、同時にリリースされたその時点の最新バージョンに含まれるセキュリティメンテナンスが含まれていました。
この適用ポリシーがどのようになっているのかは分かりませんが、今のところ3.7以降のバージョンであればWordPress本体については使い続けても問題ないでしょう。
もちろん、セキュリティメンテナンスリリースを適用していれば、ですが。
WordPress本体以外の問題
プラグインには他の問題があります。
バージョン3.7で利用可能だったプラグインで、現在メンテナンスがされていないものも多いと思います。
そのようなプラグインに脆弱性が見つかっても、修正されないままです。
利用しているプラグインを他のものと入れ替えるのは、なかなか大変な作業だとは思います。
しかし、ご利用のプラグインがメンテナンスされ続けているかどうかについては、ちょっと確認しておかれてはどうでしょうか。