Hay un aspecto que no sé si ha pasado desapercibido... cuando el CGI casca, toda llamada a un script ('index.php' o cualquier otro) se resuelve obteniendo el script para su descarga... es decir, su texto en claro.

Eso significa que encontrar el 'config.php' o como quiera que se llame(n) y en consecuencia los login y passwords, es, en ese momento, trivial.

La única solución para evitar que ante esa eventualidad el site completo se vea expuesto, es poner el/los 'config.php' (los datos de log/pass, etc) fuera del acceso web... Por ejemplo: Si el path es este, '/home/domain/public_html/index.php', el 'config.php' irá en '/home/domain/config.php' ... es decir, *ANTES* (fuera) de la carpeta 'public_html'.

(no todo iban a ser malas noticias ;)

Un saludo.