WordPressで取得するデータは無害化して表示しておくことで、これまでより安心してWordPressを利用することができます。
エスケープに利用できる関数はversionによってもかなり異なるようです。
参考:データ検証
ひとまずは下記の3つを覚えてみます。
データを表示のみに利用する場合:esc_html
<?php echo esc_html( $text ) ?>
データを値として利用する場合:esc_attr
<?php $fname = esc_attr( $fname ); ?>
URL:esc_url
<?php echo esc_url( $url ); ?>