En general, la seguridad por oscuridad es una de las formas más débiles de seguridad. Pero, en algunos casos, cada pequeño elemento extra de seguridad es deseable.
Unas cuantas técnicas simples pueden ayudarle a esconder PHP, posiblemente retrasando a un atacante que esté intentando descubrir debilidades en su sistema. Al establecer expose_php = off en su archivo php.ini, usted reduce la cantidad de información disponible a posibles atacantes.
Otra táctica consiste en configurar los servidores web como apache para que procesen diferentes tipos de archivos como scripts de PHP, ya sea con una directiva .htaccess, o en el archivo de configuración de apache mismo. En ese caso puede usar extensiones de archivo que produzcan confusión:
Ocultando PHP como otro lenguaje
# Hacer que el codigo PHP parezca como otro tipo de codigo AddType application/x-httpd-php .asp .py .pl
U ocultarlo completamente:
Uso de tipos desconocidos como extensiones para PHP
# Hacer que el codigo PHP parezca como de tipos desconocidos AddType application/x-httpd-php .bop .foo .133t
O escóndalo como código HTML, lo que tiene un pequeño impacto de rendimiento ya que todos los documentos HTML serán procesados por el motor de PHP:
Uso de tipos HTML para extensiones PHP
# Hacer que todo el codigo PHP luzca como HTML AddType application/x-httpd-php .htm .html
Para que esto funcione de manera efectiva, usted debe renombrar sus archivos PHP con las extensiones anteriores. Aunque es una forma de seguridad por oscuridad, representa una medida preventiva menor con pocos inconvenientes.
fuente: https://ve.php.net/manual/es/security.hiding.php
