No, no hay riesgo de seguridad. Ambos archivos realizan comprobaciones antes de que suceda algo.
Si WordPress ya está instalado:
-
install-helper.php
solo devuelve una página en blanco.
-
install.php
dice que WordPress está instalado y debe iniciar sesión:
Puede prohibir el acceso a ambos archivos con una regla simple en su .htaccess por encima de las reglas de enlace permanente:
RedirectMatch Permanent wp-admin/install(-helper)?\.php /
Esto redireccionará todas las solicitudes a estos archivos a la página de inicio.