¿Datos sensibles a que te refieres? ¿A los credenciales de acceso de MySQL?
Es lo habitual, WordPress, Drupal, vBulletin, etc pues el fichero de configuración php incluye los datos de acceso, usuario y contraseña para acceder a la BD MySQL
Es un fichero configuración php que no se puede leer, sólo se escriben los datos para poderse conectar y ya. Sería peor al revés, sin ninguna autenticación.
Para más seguridad MySQL (MariaDB) se puede configurar para dar acceso sólo localmente (sin acceso remoto) y sólo a una determinada BD (y a sus respectivas tablas)
Opciones de Seguridad fichero my.cnf
#security
local-infile=0
# para poner mysql remoto comentar (mysql sólo en local)
skip-networking
# Disabling symbolic-links is recommended to prevent assorted security risks
symbolic-links=0
#no dns lookups
skip-name-resolve