コアシステムのセキュリティ関連ドキュメント

クライアントが親会社さんからセキュリティチェックを行う指示を受け、IPA(独立行政法人情報処理推進機構)のチェックシートに基づいたチェックをしようとしています。

そこで下記のようなチェック項目があるのですが、WordPressのコアシステム部分においてそういった対策がなされているか否かをまとめたドキュメントなどはどこかにあるでしょうか？

テーマやプラグインについては、それぞれ配布元に確認する形になるのだろうと思いますが、コアシステム部分についてはどうなのかなと思い質問いたします。

チェック項目例）
【SQLインジェクション】
・SQL文の組み立ては全てプレースホルダで実装する。
・SQL文の構成を文字列連結により行う場合は、アプリケーションの変数をSQL文のリテラルとして正しく構成する。

【パス名パラメータの未チェック／ディレクトリ・トラバーサル】
・外部からのパラメータでウェブサーバ内のファイル名を直接指定する実装を避ける。
・ファイルを開く際は、固定のディレクトリを指定し、かつファイル名にディレクトリ名が含まれないようにする。

※「IPA：安全なウェブサイトの作り方」で提示されているチェックシートになります。

よろしくお願いします。