今回の問題に関係なく、mt.cfgは隠しておいた方が良さそうです。
.htaccessによるアクセス制限を行う場合は、
———————–
<Files mt.cfg>
<Limit GET>
deny from all
</Limit>
</Files>
———————–
を.htaccessに書き込んで『mt.cfg』と同じディレクトリに置いておきます。
また.htaccessによってmt.cgiにパスワードをかけてしまうのも良いかもしれません。
基本的にUNIXであるMacOSXの場合『.』で始まるファイルを作ると何かとややこしいので、適当なファイル名で作成した後、サーバー上でリネームをかけると良いのではないでしょうか？

-関連リンク-
・【緊急】【その他の対策】 第三者による不正アクセスを許す危険性の対策について
・MT をインストールしたら真っ先に行うべきセキュリティ対策