Primeiramente, percebi que, se eu fosse para o link , ele me dava uma página vazia em vez de um erro 404. Eu testei com outro arquivo - wp-config-example.php, e ele me deu uma página com o seguinte texto: "Erro ao estabelecer uma conexão com o banco de dados". Então, definitivamente, apenas executou esse script php. Se eu for para o link , o apache2 me servirá esse arquivo.
Isso parece muito perigoso para mim. Eu não sabia sobre isso há algum tempo e mantive um backup. SQL de todo o banco de dados wordpress no diretório wordpress - qualquer um poderia ter baixado.
Acabei de configurar o apache2 com <Directory /path/to/wordpress/dir/ , e deu certo, então achei que tudo estava bem, mas agora estou em dúvida.
Você está certo de que qualquer um poderia ter baixado seu arquivo de backup, mas o comportamento que você descreve é normal. O Apache tem que ser capaz de "ver" e servir arquivos no WP para que o WP funcione. A maneira que você tem é correta para uma instalação do WP.