Allein die Tatsache, dass du hier fragen musst, zeigt, dass es dir an Erfahrung mangelt. (Das ist NICHT böse gemeint, sondern nur eine Feststellung! Jeder hat mal klein angefangen, ich auch!)
Normalerweise ist es für Einsteiger ohne besagte Erfahrung sehr riskant, eigene Websites mit PHP zu entwickeln, weil sie sich überhaupt nicht über gängige Sicherheitslücken im Klaren sind, und unter Garantie auch in kleinere / einfachere Seiten, entsprechend ausnutzbare Fehler einbauen werden.
Von daher würde ich in deinem Falle für eine fertige Lösung plädieren.
Aaaaaber, WP ist mit gaaaaaaaanz weitem Abstand das CMS (was selbst eigentlich kein CMS sein will), welches am häufigsten gehackt wird. Das passiert in größerem Umfang alle paar Wochen oder spätestens Monate. Oft sind daran schlampig programmierte Plug-Ins schuld, oft aber auch wieder nicht, und es handelt sich wirklich um schwere Fehler in der Kern-Software.
Fazit: Du hast die Wahl zwischen Teufel und Beelzebub. :)
Egal wofür du dich entscheidest, du kannst sicher davon ausgehen, dass deine Website gehackt werden wird. Und das sogar - wenn du Pech hast - relativ zeitnah.
Bei WP oder einer anderen fertigen Lösung, kannst du die Schuld zwar teilweise auf andere schieben, aber das bringt dir die geklauten Nutzerdaten auch nicht zurück, bzw. musst du dann so oder so deine gesamte Website neu aufsetzen, um sicher zu stellen, dass keine Seiten trojanisiert wurden und munter Malware an die Besucher verteilen.
Was auch immer du tust, mache dir VORHER einen detaillierten Plan, was du tun wirst, wenn es soweit ist, dass deine Website gehackt wird:
- Wie wirst du registrierte Nutzer informieren?
- Haust du eine Art Pressemitteilung raus, die du als Textbausteine ja auch schon mal vorbereiten kannst?
- Automatisierst du ein Rückspielen deiner Webpräsenz aus einem "sauberen" Backup?
- ... Es gibt unzählige Fragen, über die du dir bei Zeiten Gedanken machen solltest.
Die einzige Möglichkeit, die Gefahr "gehackt" zu werden, auf ein erträgliches Maß zu senken, ist a) Profis für viel Geld anstellen oder b) selbst zum Profi werden. Aber da Punkt b) viele Jahre Zeit in Anspruch nehmen wird, bleibt dir nur Punkt a) oder du musst - wie oben erwähnt - mit einem erhöhten Risiko leben.
Sei dir auf jeden Fall der Gefahr bewusst, ob du etwas dagegen unternimmst, oder nicht. Wordpress installieren und ab dann "Augen zu" wird nicht funktionieren. Außerdem gibt es mit der neuen DSGVO empfindliche Strafen, auch für Blogbetreiber, wenn sich diese nicht entsprechend um die Sicherheit kümmern.
Ich weiß, das war jetzt nicht die Antwort, die du haben wolltest, aber du konntest hoffentlich etwas mitnehmen. :)
Schönen Tag noch, und trotzdem viel Erfolg mit deiner Website! :)