В моей корневой папке есть config.php. Пользователи могут получить доступ domain.com/config.php Однако файл не отображает / не выводит на печать какие-либо параметры config. Мне все еще нужно запретить использование некоторых правил .htaccess, или это безопасно?
В частности, это приложение Wordpress, и я только что понял, что могу открыть wp-config.php
Это будет не первый случай, когда веб-сервер откажет обработчику PHP по какой-либо причине (временная неправильная конфигурация, обновление ...). Если есть риск того, что страница может даже однажды загрузиться как простой текст, а не обрабатываться как скрипт, в конечном итоге вы обнаружите свои пароли.
Надежнее любого .htaccess ограничение будет хранить файл конфигурации вне корня документа (например, в ~/conf/ вместо того ~/public_html/). CMS или другое приложение даже не заметит никакой разницы, если вы: include() файл в исходном местоположении и б) PHP имеет доступ к обоим файлам, даже если веб-сервер его не имеет.