Se un'applicazione WorPress che utilizza il plug-in wordpress di Akismet presenta determinati elenchi di directory esposti pubblicamente, ad esempio akismet-en_AU.po e gli altri file .po, e directory come plug-in, temi, caricamenti (contenenti principalmente file di immagini) ecc. . solo accessibile,
dovrebbe essere considerato un difetto di sicurezza?
Non penso che questo sia un difetto di sicurezza da solo (leggi sotto, dato che questa affermazione è generale e non particolare per quel plugin), ma va contro le buone pratiche, poiché nessuno dovrebbe consentire l'accesso a una risorsa se quella risorsa non ha bisogno di essere esposta.
Questo potrebbe essere un problema di sicurezza se uno qualsiasi dei file esposti ha un qualsiasi tipo di dati privati (come i file di configurazione con credenziali DB o le chiavi API per chiamare un servizio remoto). E anche qualcosa di meno desiderabile è che forse tutto è OK ora, ma qualcosa nell'installazione potrebbe cambiare in pochi mesi e iniziare a esporre i dati, quindi questo significa che potrebbe essere necessario convalidare di nuovo le ipotesi con ogni aggiornamento.
In conclusione, cerca di seguire le buone pratiche e non consentire l'accesso se non è richiesto. Plus wordpress è un obiettivo molto comune per gli attacchi, che aumenta il rischio.
Leggi altre domande sui tag configuration access-control