1) hacer que el archivo solo sea accesible para www-data.
2) nunca use una combinación de nombre de usuario/contraseña que tenga más privilegios de los necesarios (por ejemplo, no otorgar, descartar, crear, etc., solo seleccionar insertar)
3) hacer que mysql solo acepte conexiones desde 127.0.0.1
Si alguien tiene acceso a tu casilla tienes más problemas que preocuparte por la contraseña de tu db de aplicaciones.