Вряд ли многие пользователи Вордпресса пользуются гитом. Скорее, это актуально для разработчиков тем и плагинов. Тем не менее, сайты с беззащитной директорией .git в корне не такая уж редкость. Я сказал «беззащитной» вместо незащищённой? Верно. Потому что обращение к /.git может отдавать 403 ошибку (вроде как защищено), но файл /.git/HEAD при этом вполне доступен, и это даёт возможность постепенно достать всё, что есть в этой директории. А там может быть не мало, включая пароли и ключи доступа к… чему угодно.
По идее, доступ можно закрыть средствами сервера, но самое лучшее — правильная организация проекта, когда .git лежит не в корне сайта, а уровнем выше.
Оригинал: VK.com