Почему следует использовать esc_url?

Ещё несколько важных моментов, которые нужно помнить о функции esc_url(): она используется для таких случаев, как <a href="ОЧИСТИТЕ_ЭТУ_ССЫЛКУ">ваш_текст</a>. Если вы собираетесь использовать URL в вашем HTML-выводе, например, в атрибуте href для ссылки или атрибуте src для элемента изображения, вам следует использовать esc_url().

esc_url_raw() предназначена для других случаев, когда вам нужен чистый URL, но вы не хотите, чтобы HTML-сущности кодировались. Таким образом, любое не-HTML использование (база данных, редиректы) должно использовать эту функцию.

Функция esc_url_raw() делает практически то же самое, что и esc_url(), но она не декодирует сущности, то есть не заменяет & на &#038 и так далее. Как отметил Марк, безопасно использовать esc_url_raw() в запросах к базе данных, редиректах и HTTP-функциях, таких как `wp_remote_get()' подробнее о esc_url_raw()

ну, все пользовательские данные должны быть санированы... Если URL, который вы вставляете, не является пользовательским вводом (например, настройка сайта кем-то, кому вы полностью доверяете, жестко заданные значения), то вы можете обойтись без esc-url.

но если бы я мог внедрить этот URL на ваш сайт, я мог бы легко внедрить JS-код, или код перенаправления... или даже серверный код в некоторых ситуациях.

это может привести к перехвату сессий, краже учетных записей ваших пользователей и другим неприятным последствиям.

Редактирование:

В вашем примере esc_url( home_url( '/' ) );
он работает с полужестко заданным значением! поэтому esc_url можно исключить.
Тем не менее, я все же не вижу смысла различать, когда есть угроза, а когда нет, и в целом рекомендую оставлять esc_url() для всех значений.

esc_url используется для создания валидного HTML (а не для санации ввода). Эту функцию следует применять всякий раз, когда вы не уверены на 100%, что выводимые данные являются валидным HTML для данного контекста.