Раньше вообще никто особо не парился с этими служебными файлами — лежали себе в корне и никто не закрывал. Сейчас, конечно, если не заблокируешь доступ к ним, можно сильно накосячить: откроются все пароли и настройки, а это уже не шутки. Поэтому хотя бы поставить простой .htaccess или не держать конфиги в публичной папке — это минимум для минимальных задач безопасности.