En los servidores web siempre se configura una ruta de la pagina para que sea el web root, si tu pones ese archivo php fuera del web root, entonces no se puede leer desde http://direccion/config.php, por lo que queda más seguro, y en cambio al hacer el include si puedes hacerlo desde archivos arriba del webroot.

Saludos