Может ли плагин или тема WordPress содержать вирус?

Когда вы пишете PHP-код, вы можете делать практически все, что угодно. Поэтому, когда вы запускаете код плагина, он также может делать практически все, что угодно.

• Он может запрашивать базу данных и получать любую имеющуюся там информацию (именно поэтому рекомендуется хранить пароли в виде хэшей.)
• Поскольку он может запрашивать базу данных, он также может удалять что-либо в базе данных, разрушая настройки, отключая плагины и т.д.
• Плагины могут отправлять информацию обычным способом, по почте, http, таким образом распространяя вирус будет трудно, если приемник имеет хорошую защиту.

В зависимости от настроек вашего сервера, плагин может занять ваш сервер. Если вы разрешите ему загружать файлы, которые он может выполнять, он сможет загружать любой код, который он сможет запускать на вашем сервере. Если пользователь, выполняющий код, обладает достаточными привилегиями, он может делать такие вещи, как изменение пароля, эффективно отключая вас от сервера.

Но все это будет легко заметить, поэтому, если много людей используют это, вы должны быть в безопасности, чтобы загрузить и использовать его, так как опытные разработчики PHP узнали бы об этом.

Поэтому короткий ответ таков: да, почти все возможно, но опасности не так велики. Если вы используете популярные плюсы.

Я думаю, что большая опасность будет заключаться в том, что плагин плохо написан и случайно создаст угрозу безопасности, например, не подтвердит предоставленные пользователем данные и т.д.