Es ist eine vorbeugende Maßnahme. Wenn jemand versehentlich die PHP-Auswertung in Ihrem Apache-Server deaktiviert oder eine Apache-Einstellung in einer .htaccess-Datei ändert, könnte die Datei wie jede einfache Textdatei bereitgestellt werden. Oder wenn Sie versehentlich ein PHP-Start-Tag vergessen, wird es wie reiner Text umgeschrieben. Nicht, dass Sie einen so dummen Fehler machen würden, aber vielleicht macht ein zukünftiger Neuling, der an Ihrem Code arbeitet, einen Fehler.
Warum einen möglichen Vektor offen lassen, wenn Sie verhindern können, dass er jemals möglich ist? Befolgen Sie einfach den Rat von anderen, die sich selbst in den Fuß geschossen haben (oder wie ich in beide Füße und eine Hand geschossen haben) und verschieben Sie die Anmeldeinformationen aus Ihrem Docroot.