O conselho padrão se aplica:
- Coloque o arquivo de configuração acima da raiz da web
- Use .htacess ou similar para negar acesso a essas pastas
- Use permissões de arquivo para proteger pastas
Um conselho ainda melhor:
- Assegure-se de que seu servidor de banco de dados possa ser acessado apenas por seu servidor da Web pelas ACLs de rede / firewall e por sua própria autenticação baseada em host
- Não use senhas, use certificados / Kerberos / PKI (um breve google tem essa sugestão para implementar isso no MySQL )
- Se você não confia em um aplicativo, execute-o em seu próprio servidor da web que não tem acesso a outros arquivos de aplicativos
- Use um tripwire para detecção de intrusão
Ocultar os arquivos de configuração, como você sugere, parece inútil, uma vez que um invasor tenha o controle do seu sistema dessa forma, o jogo acaba de qualquer forma. Você está apenas tornando o seu próprio trabalho mais difícil de manter seus aplicativos da Web com mais dificuldade, com pouco ganho em segurança.