En principio, lo que haría yo es verificar que a través de la url nadie pueda acceder, osea, que alguien escriba directamente la url para llegar a /wp-admin/themes.php, porque me parece que lo que hace tu código es ocultar el menú que accede a dicha opción.

Y en caso de emergencia, pues eliminaría Twentyten y solo dejaría el theme que tienes predeterminado, así no tendrán otro que poner...

Pero debes arreglar tu código en caso de que puedan acceder por la url, como dije antes, pues cuando actualices tu Wordpress, otra vez tendrás, mas que un Twentyten, un Twentyeleven

Saludos...