La mia comprensione è che non dovresti mai ospitare il tuo file configuration.php all'interno della directory public_html (mi riferisco specificamente a Joomla, ma immagino si tratti di uno scenario multipiattaforma).
La mia domanda è: è possibile per un utente accedere / visualizzare questo file di configurazione su Internet, o dovrebbe prima sfruttare il server e quindi usare quell'exploit per accedere al file di configurazione. In altre parole, la migliore pratica di mantenere configuration.php al di fuori della radice del web puramente per impedire a un exploit minore di aumentare di livello più elevato, o l'esistenza del file fornisce una vulnerabilità di per sé?