A ver a ver aquí varios errores de concepto.

El plugin tenía una vulnerabilidad, no un malware
– Virus o malware: archivo malicioso que afecta negativamente de forma activa en tu web.
– Vulnerabilidad: fallo en el código que permite que un hacker se aproveche de él, accediendo con permiso a la web y pudiendo usar esta para fines ilícitos o destruir la web.

Y cuando se dice que se detecta una vulnerabilidad en un plugin, lo habitual es que el desarrollador del mismo lance una update de urgencia, y en poco tiempo esté corregido.
Esto no garantiza que un plugin sea seguro, muchos de los plugins que usamos tienen vulnerabilidades no conocidas… es algo intrínseco a usar software.

Que tengan un buen día 🙂