Удалить версию WordPress!

Только вот сомневаюсь что заказчик будет постоянно обновлять WordPress.

А Вы не сомневайтесь. Вы объясните заказчику что это ОБЯЗАТЕЛЬНО нужно делать (и как). А дальше или поддерживаете сайт или же все дальнейшее на совести заказчика.
А вот ломать нормальный механизм (в тч и отключать технические автообновления) — это подкладывать свинью. К тому же это опасная иллюзия и никакой безопасности не даёт совершено.
Вот далеко ходить не надо — у человека даже не ВП, а его пробивают на дыры конкретного плагина https://ru.wordpress.org/support/topic/%d0%bf%d1%80%d0%be%d0%b1%d0%b8%d0%b2%d0%b0%d0%bb%d0%b8-%d0%b0%d0%b4%d1%80%d0%b5%d1%81-wp-contentpluginsrevsliderrelease_log-txt/