• Pratique uma boa segurança geral de senha (não use palavras de dicionário, etc.)
• É uma boa prática nomear o arquivo com uma extensão .php, como você fez, porque é improvável que o servidor da Web seja enganado para servir o arquivo como texto simples.
• Certifique-se de que o config.php esteja armazenado fora da raiz da web. Isso significa que, se algo der errado com a configuração do seu servidor e ele começar a servir arquivos PHP como texto simples, você não vazará sua senha do banco de dados (porque ninguém seria capaz de solicitar config.php).
• Certifique-se de que as credenciais do banco de dados sejam constantes nomeadas apropriadamente, em vez de variáveis. Isso torna menos provável que você as use de alguma forma inadequadamente (por exemplo, se a senha for $password em vez de DB_PASSWORD você pode fazer algo com o $password variável no escopo global, esquecendo que está em uso - improvável, mas uma pequena possibilidade).