Boa Noite @Carlos
Quando instalado o Xampp uma vez não precisa fazer mais nada, somente usá-lo de acordo com a sua necessidade, mas se sua dúvida for ter que baixar o wordpress para instalação, sim todas as vezes você precisará baixar, se acaso já estiver baixado simplesmente extrair em uma pasta e movê-la para pasta htdocs, para quando iniciar o seu servidor os arquivos fiquem disponível para instalação ou desenvolvimento.
HTDOCS é a pasta padrão do xampp onde vão quaisquer arquivos desejaveis seja uma página web que esteja desenvolvendo ou seus arquivos wordpress para uma execução e trabalho.
A questão do banco de dados das aulas são demonstrativas, mas claro que adotar um usuário e senha mais forte sempre é necessário, pois senão fizer isso sua aplicação poderá perder todo o sentido de existência, principalmente como você apontou um problema de segurança principalmente quando o assunto é um projeto para o cliente.
Lembrando que faça todo o curso e se acaso tiver dúvidas sempre busque maiores informações e busque sempre uma progressão para ir mais longe no wordpress que é uma ferramenta incrível.
