As pastas de plug-in devem incluir um arquivo index.php em branco?

Eu vou dizer SIM. Segurança através da obscuridade funciona se você for mais obscuro que seus vizinhos :) (brincando, mas há alguma verdade nisso).

A realidade é que os bots / scanners agora compilam as listas de plug-ins diretamente do wordpress.org e rastreiam as versões de fingerprinting diretamente do url do plug-in para explorações conhecidas e mantêm as informações em um banco de dados como referência.

Então qual você prefere, um bot não é capaz de reunir informações sobre sua instalação ou deixar que o autor do plug-in tenha certeza de que você está seguro. Como sobre ambos.

ps. Em uma nota lateral houve 186 explorações relatadas de plugins wordpress.org no ano passado. (* Relatou ..).

Não, eles não deveriam. Se um plug-in tiver vulnerabilidades apenas porque alguém pode ver sua estrutura de diretórios, ele será corrompido. Esses bugs devem ser corrigidos. Segurança através da obscuridade é um bug por si mesmo.

O proprietário do site permite ou proíbe a navegação no diretório.

Um segundo problema é o desempenho: o WordPress verifica todos os arquivos PHP no diretório-raiz de um plugin para localizar os cabeçalhos dos plug-ins. Isso permite que você tenha vários plug-ins no mesmo diretório, por exemplo, /wp-content/plugins/wpse-examples/ .

Isso também significa que arquivos PHP não utilizados nesse diretório estão perdendo tempo e memória quando o WordPress está procurando plugins. Um arquivo não causará muito dano, mas imagine que isso esteja sendo uma prática comum. Você está criando um problema real na tentativa de consertar um fictício.

Desde que o núcleo do WordPress faz isso, faz sentido que os plugins façam o mesmo. Embora tudo isso possa ser protegido com várias configurações do lado do servidor, não faz mal ter um padrão (provavelmente porque o núcleo do WordPress faz isso).