Laut de Groot nutzen die unbekannten Angreifer für ihre Attacken meist keine Sicherheitslücken in der Software, sondern versuchen mit Gewalt die Passwörter der Admin-Konten der Shops zu knacken. Mit anderen Worten: Sie verwenden automatische Skripte, die immer wieder verschiedene Nutzernamen/Passwort-Kombinationen ausprobieren, oft monatelang.
Gibt natürlich einige automatisierte Prüfungen, die auch stetig erweitert werden (bspw. die Verwendung von POST und GET Globals). Auch werden die Plugins nochmal grob manuell geprüft, wenn die zum ersten Mal in den Store kommen. Schwierig wirds natürlich bei Javascripten die von externen Quellen geladen werden - das ist ja häufig bei irgendwelchen Siegeln usw. der Fall, also alles was nicht mit dem Plugin selbst ausgeliefert wird. Das kann man natürlich schwierig überwachen - also klar, ein Stückweit ist man bei sowas auch immer auf den Anbieter angewiesen.
Ich denke aber auch, dass das Thema quelloffene Plugins da nochmal zur Qualitätsoffensive beitragen wird.