Dann wäre da noch die Sache mit dem Speicherort der Zugangsdaten zur Datenbank. Die gilt aber auch für Dateien mit gehaschten Passwörtern.

Das PDF ist zwar ein guter Anfang, aber allein beim schnellen Drüberlesen sind mir mehrere Fehler bzw. Probleme aufgefallen.

• Der Dateiname mit .ht_irgendwas führt dazu, dass die Datei wegen des Unterstrichs als versteckt behandelt wird. Problematisch, wenn nicht gleich klar ist, warum der Ordner "leer" ist, falls ein unerfahrener Entwickler am Projekt startet. Schutzwirkung: eher gering (Webserver- und configabhängig)
• Keine Short Tags: Die sollte man unabhängig von dieser Problemstellung ohnehin nicht mehr verwenden
• Ablage außerhalb DocumentRoot: sinnvolle Maßnahme - bester Ratschlag. Wenn der Hoster keinen Ordner außerhalb DocumentRoot anbietet, diesen vielleicht wechseln ;)
• .htaccess: sinnvolle Maßnahme
• index.html Fehlerhafter Statuscode, Formulierungen zweifelhaft - besser gar nix schreiben (leere index.html) als Angreifer neugierig machen
• Dateirechte: hängen vom Hoster und User, unter dem der Webserver läuft, ab - Pauschal Lesezugriff für alle User am Server(!) freischalten bedenklich
• Pfade fix auf $_SERVER['DOCUMENT_ROOT'] beziehen - bedenklich, schränkt die Portabilität der Anwendung (Installation ins Subverzeichnis, ...) unnötig ein

just my 50 cent ;)