Стоит ли переживать за безопасность сайта?

Если постле такого "добирания до конфига")) в принципе, злоумышленник может оставить на сайте только конфиг

Если злоумышленник взломает сервер, тогда все равно где лежит конфиг…
А вот если атака на сайт, то взлом будет касаться только директории нахождения сайта, за ее пределы доступ будет затруднен! Именно в этом смысл предложения Fuze! Весьма интересно.

вынести за корневую директорию сайта.
Например, а вас сайт по пути /var/www/blabla/html/site.ru/, т.е. конфиг лежит /var/www/blabla/html/site.ru/system/config/config.php
Создаёте директорию /var/www/blabla/html/configs/ и переносите файл туда.
После чего открываете файл /system/core/config.php приводите аналогичную строчку к этой:

    public function load($cfg_file='config.php'){
        $cfg_file = PATH . '/../configs/' . $cfg_file;

и строчку

$file = self::get('root_path').'system/config/' . $cfg_file;

меняете вот так:

$file = PATH . '/../configs/' . $cfg_file;

Fuze, возможно нужно что-то ещё?

Сделал всё точь-в-точь как сказали.

В адресной строке выпадает site.ru/install и сайт становится недоступен.