Contraproducente no es, pero sabes que tienes un "riesgo potencial" de seguridad.
Lo unico que puede pasar es que si el php provoca un error en algun script (cosa que no debería suceder mientras no se toque el código) muestre el código y mensaje de error en la pantalla, ndad más.
Lo de poner el fichero config.php a sólo lectura me parece lo mejor una vez está configurado.
De hecho, en la última instalación que he heco, he quitado los permisos de escritura a todo el sitio (excepto moodledata). La última mala experiencia con la vulnerabilidad XSS que modificó todos los php me ha hecho ser un poco más paranoico.
Respecto a cambiar los permisos por ftp: Si tu usuario de ftp no tiene permiso para ello, no podrás. Debes hacerlo a través del CPAnel de tu hosting.
Hasta pronto,
Salu2.
J.Raul (juagarc4)