Pelo que entendi - os métodos que possuem espaços reservados para parâmetros de consulta ($wpdb->insert() , $wpdb->update() , $wpdb->delete() ) não precisa do $wpdb->prepare() método, e eles já são seguros.

Mas os outros - aqueles que não têm espaços reservados, precisam de escape sql adicional.