¿Deben las carpetas de complementos incluir un archivo index.php en blanco?

Voy a decir SÍ. La seguridad a través de la oscuridad funciona si eres más oscuro que tus vecinos :) (bromeando pero hay algo de verdad en eso).

La realidad es que los robots / escáneres ahora compilan las listas de complementos directamente desde wordpress.org y rastrean las url de los complementos directamente, las versiones de huellas dactilares de explotaciones conocidas y guardan la información en una base de datos como referencia.

Entonces, ¿cuál preferirías tener? Un robot no puede recopilar información sobre tu instalación, o dejarlo en manos del autor del complemento para asegurarte de que estás seguro. ¿Qué hay de los dos.

ps. En una nota al margen, hubo 186 explotaciones reportadas de los complementos de wordpress.org el año pasado. (* Reportado ..).

No, no deberían. Si un complemento tiene vulnerabilidades solo porque alguien pueda ver su estructura de directorios, está roto. Estos errores se deben corregir.
Seguridad a través de la oscuridad es un error por si mismo.

Es responsabilidad del propietario del sitio permitir o prohibir la navegación en el directorio.

Un segundo problema es el rendimiento: WordPress escanea todos los archivos PHP en el directorio raíz de un complemento para encontrar encabezados de complementos. Esto le permite tener varios complementos en el mismo directorio, por ejemplo, /wp-content/plugins/wpse-examples/ .

También significa que los archivos PHP no utilizados en ese directorio están perdiendo tiempo y memoria cuando WordPress está buscando complementos. Un archivo no hará mucho daño, pero imagina que esto es una práctica común. Estás creando un problema real en un intento de arreglar un ficticio.

Dado que el núcleo de WordPress hace esto, tiene sentido que los complementos sigan su ejemplo. Si bien todo esto se puede proteger con varias configuraciones del lado del servidor, no está mal tener un valor predeterminado (probablemente el motivo por el que WordPress lo hace).