No, no deberían. Si un complemento tiene vulnerabilidades solo porque alguien pueda ver su estructura de directorios, está roto. Estos errores se deben corregir.
Seguridad a través de la oscuridad es un error por si mismo.
Es responsabilidad del propietario del sitio permitir o prohibir la navegación en el directorio.
Un segundo problema es el rendimiento: WordPress escanea todos los archivos PHP en el directorio raíz de un complemento para encontrar encabezados de complementos. Esto le permite tener varios complementos en el mismo directorio, por ejemplo, /wp-content/plugins/wpse-examples/
.
También significa que los archivos PHP no utilizados en ese directorio están perdiendo tiempo y memoria cuando WordPress está buscando complementos. Un archivo no hará mucho daño, pero imagina que esto es una práctica común. Estás creando un problema real en un intento de arreglar un ficticio.