Hur vet man att ett Wordpress tema eller tillägg är säkert?

För teman kan du använda http://themecheck.org/

Plockar du teman från Wordpress själva, eller större premiumsiter som Themeforest så kan du vara rätt säker på att de är verifierade.

Sen kan man ju alltid råka ut för något om/när det uppdagas nya buggar i själva Wordpress-distributionen, och då kvittar det nog vilket tema man kör.

Du kan söka runt på rapporter. Sucuri brukar ha liggandes.

2016
https://sucuri.net/reports/2016-q3-hacked-website-report

Du har även WPSCAN med plugin som har en stor databas på plugin med säkerhetshål.
https://wpscan.org

https://wordpress.org/plugins/plugin-security-scanner/

Annars så försöker jag hålla mig till några få plugin som gör det jag behöver, jag utvecklar en del själv för att slippa plugins för minsta lilla. Köper licenser på det jag tycker är bra och är populärt, då brukar säkerheten också följa med.

Alltså, jadu. Varför skulle någon du anlitar vara illasinnad?
Om de är illasinnade så kommer det märkas. Men generellt vill de ju göra ett bra jobb för att fortsätta få uppdrag och betalt, de tjänar inget på att "infektera" en hemsida, om de inte gör om det till en fishing sida eller så. Men nej, jag tror inte du behöver oroa dig. Se till att deras adminkonto försvinner efter slutfört arbete. Lämna aldrig ut ditt adminkonto. Ha alltid backup på hemsidan innan några större ändringar sker.

Vad är en "smittad" mjukvara? Vad är du rädd att den ska göra?
Hanterar du kunder, kontouppgifter, bankuppgifter, kort mm, då kanske man är lite mer nojjig, men annars tror jag inte du behöver oroa dig.

Du kanske ska lämna tanken helt? Uppenbarligen litar du inte på människor som arbetar med detta på heltid, lol.

Jag tycker OP har en rätt sund inställning. "Oinbjuden" kod har förekommit flera gånger i appar och plugins av olika slag, nu senast var det väl appar på AppStore som visat sig sälja vidare användarinformation till tredjepart? Även öppna bibliotek på exempelvis npm har i vissa fall innehållit skumma saker som kryptovaluta-brytare.

Tillägg kan också av misstag öppna säkerhetshål, beroende på hur eftertänksamma utvecklarna har varit. Jag kan lova att flera stora, omtyckta och välmenande tillägg har brister i koden som tredjepart kan utnyttja för egna syften.

Till OP: Jag brukar se mig runt efter recensioner av tillägg. Ju mer använt ett tillägg är desto troligare blir det att någon annan skulle ha larmat om eventuella säkerhetsbrister eller trojaner. Om leverantören av ett tillägg skyltar med var källkoden finns att hämta eller titta på kan det också vara en indikation på att de inte har något att dölja.

Nu handlade ju detta om att betala en utvecklare för att designa och bygga ett tema. En annan sak är gratis eller officiella plugins. Men ett beställt arbete tas väldigt seriöst. Att köpa ett specialbyggt tema är dyrt, inget som utvecklarna vill äventyra sina rykten med.

Även om det skulle finnas ett program som går igenom skadlig kod och verifierar att koden är safe innebär detta inte att koden är det, eller hur?

Och även om du köper ett tillägg som är "säkert" idag kan det släppas uppdateringar som är inbakade med skadlig kod.

Många sajter använder därför ej tredjeparts plugins, just för att man inte kan verifiera att skadlig kod förekommer. Många företag blockerar tillägg som adderas genom Google Chrome för att det skulle kosta för mycket att verifiera tredjeparts pluginsen.

Du kommer alltid "riskera" att hamna i trubbel om du använder tredjepartsplugin.

Hur gör då vi då för att minimera risken? Vi använder tredjepartsplugins från kända företag. Det minimerar risken enormt eftersom de skulle förlora på att släppa skadlig kod.

Behöver ju inte vara skadlig kod kan ju vara en okunnig programmerare eller bara ett misstag som gör att man öppnar en sårbarhet i webbsidan.