O arquivo wp-config.php é um arquivo muito importante para o WordPress e por isso contém informações muito sensíveis (conexão com banco de dados, chaves secretas, prefixo das tabelas etc). Em geral um atacante não conseguiria acessar essas informações pois mesmo que ele tente acessar esse arquivo diretamente, o servidor web iria tentar executar o arquivo .php e retornar alguma saída.

Contudo caso algum problema aconteça com o módulo PHP do servidor, os arquivos .php no lugar de serem executados serão enviados para download aos usuários. Existem também outros cenários em que o atacante pode obter o arquivo wp-config.php. Nos últimos meses foram descobertas diversos plugins com brechas que permitiam entre outras coisas a obtenção do arquivo wp-config.php.

Para se prevenir em caso desses possíveis erros é possível bloquear o acesso ao arquivo wp-config.php via .htaccess, para isso basta colocar o código abaixo no final do conteúdo do arquivo .htaccess da sua instalação do WordPress.

<files wp-config.php> 
order allow,deny 
deny from all 
</files>