muy bueno Halo, estoy de acuerdo con todos en general,todos decis cosas muy lógicas, voy a comentaros algo que todavía no he puesto en el Daboblog y que me queda pendiente, la configuración del php en un sistema en producción , debe tener la variable en el php.ini "display_errors" a Off, de este modo, es imposible que se vea el path cuando falle el php.
Partiendo de esa base, cuando Wordpress dice "es un problema de configuración del servidor, no nuestro", llevan su parte de razón. Donde tengo sentimientos encontrados es con una cosa, es una línea de código que no afecta para nada a la aplicación y es facilisimo, hay gente que no tiene acceso a ese tipo de configuraciones, un hosting compartido, el tipico en el que están alojadas 200 o 500 webs, ahí no hay nada que hacer por parte del usuario, o parcheas o nada.
Además se puede tener el que muestre errores en "off" y por detrás que esté corriendo un log en el que el administrador pueda ver que falla. Hay gente a la que le gusta tenerlo en "on" por no tirar de un log y porque sabes al momento que falla pero como digo, cuando el sistema está a punto, no tiene lógica tenerlo activado.
El problema es que ver el path en si no es un problema, hay cosas más graves pero cuando ciertos ataques o exploits van como más directos cuando sabes la ruta pues no se, son 2 líneas de código, lo hacen bien, el software es bueno y mucha gente lo usamos pero la crítica y la autocrítica creo que siempre es buena -:)