¿Debo escapar de las funciones de wordpress como the_title, the_excerpt, the_content

El escape depende completamente del contexto en el que está utilizando las funciones. Lo que es seguro para mostrar dentro de las etiquetas <h1> , no es necesariamente seguro mostrarlo para el atributo value de un campo de entrada, e incluso eso no sería necesariamente seguro como un valor de atributo href ....

En resumen: realice la desinfección usted mismo a medida que la expanda. Aunque en el caso de the_title () o get_the_title () , esc_html no es necesario, ya que WordPress aplica las siguientes funciones:

• convert_chars
• wptexturize

Nota: the_title imprime el título, por lo que esc_html ( the_title () ) no funcionará. De forma similar, the_content imprime el contenido (en cualquier caso, esperaría que el contenido muestre HTML).

Sí y no, depende de si desea que html en esas funciones se genere o no. Si escapa the_content() , por ejemplo, y contiene una etiqueta <div> , esa etiqueta se enviará a la página como <div> en su lugar.

Por cierto, si escapa a la salida de esas funciones, querrá usar sus equivalentes "get_" (ej. get_the_content() ) ya que esas funciones hacen eco de su salida directamente.

Simplemente puede escribir una función como esta y conectarla a the_title filter:

function my_escape_title( $title ){
    return esc_html( $title );
}
add_filter( 'the_title', 'my_escape_title' );