É muito importante essa dica de segurança. Não é só temas que podem conter troyanos, também plugins podem conter embutido código malicioso, principalmente plugins de formulário de contacto como o sexy-contact-form ou o wp contact form 7. Eu já tive de lutar com essa porcaria e é bem bravo de irradicar porque se espalha pelas pastas criando novos ficheiros e cuja finalidade é fazer envio massivo de emails.