Si los plugin los instalas directamente del repo oficial de WP https://wordpress.org/plugins/ no hay necesidad del scaneo.

Si los plugins son de fuentes tipo null-scripts, bla bla, 100% que tendran algo.

Lo que puedes hacer es crear un entorno local de desarrollo con https://wordpress.org/plugins/wordfence/ instalado y probarlos ahi.