Según tengo entendido, los métodos que tienen marcadores de posición para los parámetros de consulta ($wpdb->insert() , $wpdb->update() , $wpdb->delete() ) no necesita el $wpdb->prepare() y ya son seguros.
Pero los otros, aquellos que no tienen marcadores de posición, necesitan un escape de sql adicional.
