Si una aplicación WorPress que usa el plugin Akismet wordpress tiene cierta lista de directorios expuesta públicamente, como akismet-en_AU.po y los otros archivos .po, y directorios como plugins, temas, subidas (principalmente con archivos de imagen), etc. .only accesible,
¿Debería considerarse esto como un defecto de seguridad?
No creo que este sea un defecto de seguridad por sí solo (lea a continuación, ya que esta declaración es general y no es específica de ese complemento), pero va en contra de las buenas prácticas, ya que nadie debería permitir el acceso a un recurso si ese recurso no necesita ser expuesto.
Este podría ser un problema de seguridad si alguno de los archivos expuestos tiene algún tipo de datos privados (como archivos de configuración con credenciales de base de datos o claves API para llamar a un servicio remoto). E incluso algo menos deseable es que tal vez todo esté bien ahora, pero algo en su instalación puede cambiar en unos pocos meses y comenzar a exponer datos, por lo que es posible que tenga que volver a validar sus suposiciones con cada actualización.
En conclusión, intente seguir las buenas prácticas y no permita el acceso si no es necesario. Además, wordpress es un objetivo muy común para los ataques, lo que aumenta el riesgo.
Lea otras preguntas en las etiquetas configuration access-control