Non penso che questo sia un difetto di sicurezza da solo (leggi sotto, dato che questa affermazione è generale e non particolare per quel plugin), ma va contro le buone pratiche, poiché nessuno dovrebbe consentire l'accesso a una risorsa se quella risorsa non ha bisogno di essere esposta.
Questo potrebbe essere un problema di sicurezza se uno qualsiasi dei file esposti ha un qualsiasi tipo di dati privati (come i file di configurazione con credenziali DB o le chiavi API per chiamare un servizio remoto). E anche qualcosa di meno desiderabile è che forse tutto è OK ora, ma qualcosa nell'installazione potrebbe cambiare in pochi mesi e iniziare a esporre i dati, quindi questo significa che potrebbe essere necessario convalidare di nuovo le ipotesi con ogni aggiornamento.
In conclusione, cerca di seguire le buone pratiche e non consentire l'accesso se non è richiesto. Plus wordpress è un obiettivo molto comune per gli attacchi, che aumenta il rischio.