Sí y no. No siempre, hay algunas versiones antiguas estables. Pero suelen ser las últimas de su rama. Ten en cuenta que un agujero de seguridad puede detectarse en un plugin, un tema o en el core de WordPress. Las actualizaciones corrigen los agujeros reportados o detectados. Por otra parte en una versión antigua de WordPress, no van a funcionar algunos plugins.

Ni el core de WordPress, ni el de los plugins deben modificarse porque es posible también que el agujero lo cree la persona que lo modifica sin saberlo. Además no es eficiente, pues va a perder los cambios cada vez que actualice. Los temas deben revisarse en cada actualización, por si incluyen funciones obsoletas, etc.

La lógica es que un sitio dinámico es un sitio vivo y necesita un mantenimiento, como un coche. Si no le cambias los filtros, el aceite y la batería, es cuestión de tiempo que tengas un problema serio, incluso un accidente.