Ce devrait être une règle recommandée/connu de tout le monde... mais ce n'est pas le cas

Votre fichier de configuration PHP contenant les données d'accès à la base de données de votre site est un des fichiers les plus sensibles de votre site, il a par défaut la permission 644 : il faut changer si possible vers une permission 400 (accès local par votre site web uniquement) afin d'avoir un accès optimal/sécurisé, mais ce n'est parfois pas possible avec certains CMS/scripts dans le sens ou cela causera un dysfonctionnement.