1) tornar o arquivo acessível apenas para www-data.

2) nunca use um combo nome de usuário/pw que tenha mais privilégios do que o necessário (por exemplo, sem conceder, soltar, criar etc, apenas selecionar inserir)

3) faça o mysql aceitar apenas conexões de 127.0.0.1

Se alguém tiver acesso ao seu box você terá mais problemas do que se preocupar com a senha do seu db de aplicativos.