Jak jsem pochopil - metody, které mají zástupné symboly pro parametry dotazu ($wpdb->insert() , $wpdb->update() , $wpdb->delete() ) nepotřebují $wpdb->prepare() a jsou již v bezpečí.
Ale ostatní – tito nemají zástupné symboly, potřebují další kódování SQL.