テーマファイルってのは画像だけで構成されているわけではなく、サーバー側で実行されるスクリプトが大多数を占めてるわけで、さらにそれに実行権限が割り振られてるとなりゃ、考えなくても危険だなあ。作者がなんらかの目的で悪意のあるコードを仕込んでる可能性がある。
wordpressつかってそんなに日がたってないのでそこまで気が回ってなかった。早速使ってないテーマは削除しておいた。

ファイル自体はexeみたいな実行ファイルじゃないのでダウンロード時には何もわからない。アップロードして使わないまま（使っていても）放置してたら知らない間にフィッシングサイトにされてたとか、踏み台でなんかやらされてたとか、データベースの中身が送信されてたとかありうる。悪意のあるコードかどうかチェックするのは結構むずかしいね。外部通信してる箇所があれば怪しいけど、それすら探すのはやや難しい。巧妙に隠蔽してそうだしｗ
さらにたちが悪いのは作者からしてみたら実行したいファイルのパスはほぼ決めうちでわかることだなあ。

ということで使わないテーマはなるべく削除してサーバーに残しておかないことが大事。
今使ってるテーマがもし該当したら…と思う場合はテーマ名でぐぐったりして評判を調べるといいのかな。
使用者がおおいテーマとかは多分大丈夫。多分。