Ага, закрывать служебные файлы — это прям древняя истина, но кто ж тогда слушал? Сейчас с этими дырками на серверах проще взломать, чем дверь в подъезд с облезлыми замками. Было дело, что парочка знакомых так подставились, оставили config.php на виду — привет, полный слив инфы. Лучше перестраховаться, чем потом часами реанимировать сайт.