а как проверяете на наличие стороннего кода? чисто визуально? или программы (сервисы) есть?
в первую очередь, визуально смотрю код. Если в файле есть зашифрованные данные(base64), декодирую и смотрю, что код делает. Обычно бэкдор содержится в одном файле, редко видел, чтоб его разделяли, но так делают стучалки(куски функций в разных файлах плагина).
Из программ использую анализатор трафика - Wireshark
Ну и если нужно сравнить допустим различия версий плагина и найти изменения в файлах - ExamDiff
У нас пол рунета на нулленых плагинах и тем более шаблонах. Ни разу не встречал "криков о помощи" ))) У меня 4 коммерческих сайта для своей офлайн студии на нулл темах и с кучей нулл плагинов. Полет нормальный
Я даже больше скажу, подавал жалобу разработчику темы из themeforest(тема не дешевая по цене), что дизайн(у конкурента) скаченный, мол разберитесь. В итоге они приняли к сведению, поблагодарили и через месяц сообщение удалили, чтоб не портить репутацию, а сайт с темой так и остался жить в инете)
Это с плагинами и темами для вп могут ничего не предъявить по абузе, а вот если форумы популярные нуленые ставить и потом раскрутиться, то проблемы могут быть)