Gracias a los dos por su pronta respuesta..

como comentas pateketrueke: las constantes pueden exponerse usando get_defined_constants() así que si alguien es capaz de ejecutar código en tu sitio podrá saber que hay ahí..

como es que serian capaces de ejecutar esa función? sera accediendo a los archivos?

porque como dice JoangelDLR, en el caso de acceder a los archivos, cualquier forma de configuración sera visible al momento de acceder al servidor.

como nota: Wordpress utiliza constantes con define() en su configuración.. porque lo usara Wordpress si no es lo mas seguro?? si hay millones de web que utilizan este CMS?

ademas pienso sacar el archivo de configuracion fuera del directorio publico (www) del servidor e incluyendolo mas o menos asi: ../../configuracion.php

y pateketrueke... me podrias explicar que funcion desempeña la definicion static en el array dentro de la funcion que compartiste?