Если не закрыть служебные файлы, то любой желающий может взять и утащить пароли, настройки и ключи доступа. Это прям приглашение для взлома, потому что с такими данными можно залезть в базу или изменить сайт. Часто это происходит из-за невнимательности — забыли удалить установочные файлы или бэкапы оставили в общедоступной папке. Просто элементарный шаг — закрыть эти файлы на уровне сервера — и проблемы уже гораздо меньше.