Может ли плагин или тема WordPress содержать вирус?

Когда вы пишете PHP-код, вы можете делать что угодно. Поэтому, когда вы запускаете код плагина, он также может делать что угодно.

• Он может запрашивать базу данных и получать любую информацию (поэтому рекомендуется хранить пароли в виде хэшей).
• Поскольку он может запрашивать базу данных, он также может удалять что-либо в базе данных, разрушая настройки, отключая плагины и т. д.
• Плагины могут отправлять информацию обычным способом, почтой, http, поэтому распространение вируса будет затруднено, если получатель имеет хорошую защиту.

В зависимости от настроек вашего сервера, плагин может взять на себя управление вашим сервером. Если вы позволите ему загружать файлы, которые он может выполнять, он сможет загружать любой код, который он сможет запустить на вашем сервере. Если пользователь, запускающий код, имеет достаточные привилегии, он может делать такие вещи, как смена пароля, эффективно отключая вас от сервера.

Но все это будет легко обнаружить, поэтому, если его использует много людей, вы должны быть в безопасности при загрузке и использовании, поскольку опытные PHP-разработчики узнали бы об этом.

Короткий ответ: да, почти все возможно, но опасности не так уж велики. Если вы используете популярные плагины.

Я думаю, что большая опасность будет заключаться в том, что плагин плохо написан и случайно создаст угрозу безопасности, например, не проверив предоставленные пользователем данные и т. д.