Особенно опасно, когда служебные файлы типа конфигов просто лежат в корне и к ним есть прямой доступ. Часто уязвимости приходят именно из-за банальной невнимательности — забыли запрет прописать в .htaccess или nginx-конфиге. Проще всего закрыть доступ к этим файлам через сервер, чем потом разбираться с последствиями взлома.