Hocam illa "id" olması gerekmiyor.Kullanıcının etkileşime geçebileceği heryerden sql kodları yollanabilir.(Örn:Textbox)Sql injection'u kısaca tanımlamak gerekirse mevcut sorgu düzenini bozmak için uzaktan kod enjekte edilmesi işlemi diyebiliriz.

http://www.medyapendik.com/wp-login.php?action=lostpassword&error=invalidkey

http://www.medyapendik.com/wp-login.php?action=register

gibi birçok php uzantılı adresiniz mevcut.Genelde wordpress siteler eklentilerden sql injection işlemine mağruz kalır.Filtreleme sağlam olduğu sürece bir sıkıntı çıkmaz.Tabi onada çok güvenmemek lazım bazı filtreler ASCII ve benzeri karakter kodlamalarını yiyebiliyor.Ama büyük sistemlerin bile çok ufak açıklarla hacklendiğini daha önce gördük.Sağlam biri kafaya takmadığı sürece wp ile uğraşmaz diye düşünüyorum:)