理论上，他们能开发一个WP插件来访问另一个WP安装的文件（甚至WP配置，包括DB凭据）吗？

对

如果您的文件夹属于同一用户，在Apache/Nginx中以同一用户的身份运行，或者彼此具有读/写访问权限，那么这是可能的。

您的安装是在服务器/主机级别上进行的，而不是在WP级别。如果您的用户能够上载插件或编辑PHP，那么他们可以轻松地上载emergency.php 针对其他安装并重置管理员密码。同样，他们可以插入PHP shell，或者读取wp-config.php 其他安装的。

更糟糕的是，如果其中一个网站被黑客入侵，所有这些网站都可能被感染。您在备份方面也遇到了更大的困难

如果您担心安全问题，应该立即修复此问题。如何修复此问题是特定于服务器的，不在此网站范围内。考虑询问服务器故障