通常、wp-config.php のパーミッション(アクセス権)は、「644」であることも多いでしょう。しかし、先日の某サーバー会社におけるデータベース大規模改竄事件は、その 644 の危険性を示しました。
この事件は、WordPress の設定ファイルである wp-config.php からデータベース接続に必要な情報を抜き出し、データベースを改竄したというものです。サーバーに、別ユーザーへのシンボリックリンク(ファイルやディレクトリに別の名前を与え、ユーザーやアプリケーションがその名前をファイル本体と同様に扱えるようにする仕組み)に対する読み込みを制限するシステムが実装されていれば、パーミッションは 644 でも問題ありませんが、大手サーバー会社でも未実装であったりすることがわかりましたね。
wp-config.php が、同一サーバーを共有している他のユーザーに(またはそれを踏み台に)読み取られてしまうことを防ぐためにも、パーミッションは「400」にしておきましょう。WordPress の作動になにか影響を及ぼすわけでもなく、防護壁は多重であることに越したことはありません。