WordPress 受欢迎的原因，除了因为系统容易使用及有数量宠大的插件，众多优质的模版亦功不可抹。有人说只要看看网站的布局和设计，大致可以估到网站是使用什么系统，但这应不包括 WordPress，因为只要模版作者有一定的编程能力，喜欢怎样设计也可以。

为什么 WordPress 模版的弹性有这样大，原因是其模版可使用 PHP，而且可直接使用 WordPress 的 API  (原则上是供插件使用)，可说是全无限制。很多系统如 Joomla、Discuz、Prestashop 等的模版都不能用 PHP，而是使用一个 Template Engine。Template Engine 可提供基本的编程功能，如 control flow, looping, output filter 等，好处是令模版只负责网站的外观，和功能完全分开。

但现实上很难做到设计和功能完全分开的，简单如 Pagination 的设计，假如系统未能提供设计上需要的功能，如模版可用 PHP ，作者可轻易自行创建所需的功能，并在安装模版时同时启用，方便用家。而若果模版只能更改外观，则过程会复杂得多。因此，一般的 Joomla 模版其实只能做到更改图像，布局不变，高质素的模版只有大公司才有能力制作，Joomla Magazine 的 top 10 template picks for 2010 真是最佳证明。事实上现时这些公司很多都同时制作插件，甚至把两者合拼发售。

一把刀有两面刃，模版上可以使用 PHP ，即是安装模版的同时，亦可加入其他功能，一般用户对此认知不足，以为安装模版只会改变网站的外观，忽略了潜在的危险。Otto 详细分析了一类模版上发现的恶意「软件」，这些 malware 用上很高明的手法，尝试在用家的网站上安装一个后门，供制作者随时可以在网站加入特定的连结。就算用家卸除该模版也不能铲除后门，因后门的位置不在模版的 目录，要颇花功夫才能找到其藏身之处！换句话说，就算用户只是想看看后果短暂启用模版，也会实时中招，而清除的难度很高。

要避免使用的模版上有恶意软件，方法老生常谈，只去可信赖的网站下载模版，个人认为 WordPress 应更高调提醒用户安装模版的风险。其实同样问题也在手机程序上越见严重 (而手机上的malware更危险，除了可偷取用户的个人资料，据说国内有手机程序可自动拨打来骗财)，解决方法也只有用户自己小心不要胡乱下载程序。