Да, действительно, это огромная дыра в безопасности)
Для защиты Вашего проекта от взлома необходимо заменить пароль к бд в этом файле на его хеш. Генерировать нужно самому, и обязательно с добавлением "соли". Соль, естественно, на сервере не хранить, а оставить у себя на компьютере, но ни в коем случае не на рабочем столе. Я бы посоветовал спрятать файл с солью где-нибудь в недрах папки Windows или Program Files.
И ещё момент, т.к. Вы скорее всего хешировать пароль будете в каком-нибудь онлайн-сервисе - после этого обязательно нужно очистить полностью вес кеш браузера, а ещё лучше из под виртуалки, которую потом обязательно удалить))))
