Точно, закрывать служебные файлы — это базовая защита. Даже если хостинг какие-то права ставит, ошибки всё равно случаются, и файлы могут просочиться. Проще лишний раз сделать запрет на уровне сервера, чем потом реагировать на взлом или сливы паролей. Лучше не халтурить с мелочами — они часто решают многое.