Es gibt viele Anwender:innen, die automatisierten Updates nicht über den Weg trauen, weil im ungünstigsten Fall ein Konflikt zweier Plugins (z.B. durch versehentlich gleiche Benennung zweier unterschiedlicher Funktionen) gleich die ganze Website lahm legt und erst wesentlich später klar wird, dass die Website wochenlang (oder auch länger) nicht mehr als einen leeren Bildschirm angezeigt hat. Das lässt sich aber mit einem Auditing abfangen, z.B. in dem du auf einem Raspberry Pi oder deinem Webspace die Software phpServerMonitor installierst und damit alle 15 Minuten abfragen lässt, ob eine bestimmte Zeichenkette („Stolz präsentiert von WordPress“) abrufbar ist. Oder du verwendest einen Dienstanbieter wie https://uptimerobot.com/. Damit bekommst du noch kein „die Website sieht seit dem letzten Update komisch aus“ abgefangen, aber merkst zumindest schneller, wenn die Website nicht mehr funktioniert. Zusätzlich versendet WordPress bei fatalen Fehlern per E-Mail einen Hinweis an den Administrator.
Ich kenne zumindest einen WordPress-Webhoster, der nach automatischen Updates prüft, ob sich die Anzeige der Website wesentlich geändert hat. Damit wirst du dann noch schneller informiert, wenn ein Update nicht so funktioniert hat, wie es sein sollte. Mit regelmäßigen Backups sollte es dann leicht sein, die Website in wenigen Minuten wieder auf den vorherigen Stand zurückzuversetzen und mit der Suche der Fehlerursache zu beginnen.

Soviel ich weiß, werden bei einem Theme- und Plugin-Update tatsächlich immer die neueste Version komplett heruntergeladen entpackt, die alte Version gelöscht und durch die neue Version ersetzt. Deshalb solltest du auch nie Änderungen in Plugins oder Themes vornehmen, sondern mit ergänzenden Plugins und Child Themes arbeiten. Inkrementelle Updates sind bei Themes und Plugins nicht vorgesehen. Grundsätzlich sollten hier auch größere Versionssprünge keine Probleme bereiten.

Größere Versionssprünge im WordPress-Core sind häufig ebenfalls unproblematisch, wobei ich aber bei z.B. einem Update von WordPress 3.0 (zehn Jahre alt) eher ein manuelles Update auf eine Zwischenversion WordPress 4.5 (fünf Jahre alt) empfehlen würde. Verwendet der Server eine ältere PHP-Version scheitert ein Update auf die neueste WordPress-Version an den Systemanforderungen, was aber auch angezeigt wird.

Theoretisch sollte man jede Woche reinsehen, weiß ich, aber in der realen Welt gibt’s halt genug Klienten, die das nicht bezahlen können oder wollen. (Denke jede/r, der/die mit einem Webworker-Job ernsthaft den Lebensunterhalt verdienen muss, versteht das auch.)

Ja, Thema ist bekannt. Trotzdem solltest du deinen Kunden vermitteln, dass eine millionenfach verwendete Webanwendung auch automatisch ein lukratives Ziel für Angreifer bietet und nur durch regelmäßige und zeitnahe Updates Sicherheitslücken geschlossen und Schaden für den Website-Betreiber und seine Webseitenbesucher abgewendet werden kann. Der Imageschaden oder auch finanzielle Verluste können durch einen Angriff deutlich höher liegen als die Kosten für „regelmäßig mal draufschauen“. Automatisierte Updates und das oben geschilderte Auditing sind dann ein günstiger Mittelweg, weil du dich erst dann kümmern musst, wenn die Website Fehlermeldungen erzeugt.