Нужно ли волноваться по поводу указания пароля в php-файле?

Вообще-то можно и поволноваться.

Может быть случай мисконфига niginx + backend (может быть бывают и случаи отвала бэкенда, но такого я не встречал, но чем черт не шутит), когда php-скрипты не будут корректно обработаны бэкендом и, вместо нормального процесса интерпретации, скрипт будет отдан плейн-текстом клиенту.

Чтобы минимизировать потенциальный урон от такого следует:

• сделать единую точку входа в приложение, (index.php в public_html и не более того);
  
• скрипты движка (фремворка), конфиги и прочее, к чему клиент в любом случае не должен иметь доступ, вынести за пределы public_html.
  

как вариант можно выносить все константы , типа имени и паролей в отдельный файл и цеплять его по мере необходимости . Тут появляется удобство поделиться куском кода не замазывая строчки с паролями/токенами

Выносите данные авторизации всегда в файл конфигурации.
Проще будет при переносе ресурса куда-либо.
Что касается внесения их в файлы PHP, известно миллион ситуаций когда из-за неправильного конфигурирования web-сервера, пользователям отдавался файл PHP в исходном текстовом виде. Оно вам надо?

Если для .php-файлов настроен хендлер, то нормально.

Не слушай их, они тебе несут бессмысленные советы. Все эти варианты, подобны тому, как укрываться зонтом от пуль. Твой PHP код никто из браузера не посмотрит и таким принципом работают очень много сайтов.

Некоторые конечно хранят все эти данные в отдельный конфигах (к примеру config.php). Но если взломают твой FTP или получат доступ к хостингу, то тогда уже не спастись.

Итог: Не парься, спокойно продолжай пилить свой код и не слушай эти бесполезные советы выше :) Они не спасут твой сайт.

.htaccess закрой прямое обращение к файлу