Da quanto ho capito, i metodi hanno segnaposto per i parametri della query ($wpdb->insert() , $wpdb->update() , $wpdb->delete() ) non è necessario il $wpdb->prepare() metodo e sono già al sicuro.
Ma gli altri - quelli non hanno segnaposto, hanno bisogno di un'ulteriore escape di sql.
