С правами все верно поняли. Только надо еще понимать, что пользователя создают для доступа локально, только с localhost, поэтому никто ничего подобрать не сможет, пока не получит доступ к файловой системе самого сервера.

Если беспокоитесь именно об этой учетной записи, то создайте отдельного пользователя, которого ограничьте в правах задав доступ только к технической базе данных.

Я, в принципе то думал, что пароль в конф файле должен хэшем храниться.
Последую Вашему совету, что бы у меня ошибки не вылетали.
Тогда у меня следующий вопрос: Пользователь phpadmin имеет права только SELECT, INSERT, UPDATE, DELETE. Это значит, что если кто то подберет пароль этого пользователя, то он только в его бызе сможет "наколбасячить"?

Я так понял, что при установке phpmyadmin сам создает этого пользователя и генерит для него конфиг файл.
Вообще для чего нужен этот controluser и какие права у него должны быть?

P.S. Спасибо за быстрые ответы! 

counsellor сказал:

не хочу хранить пароли в открытом виде в конфигурационных файлах

Выше в коде конфигурационного файла должно быть подключение внешних файлов, где и прописываются конфигурационные директивы в переменных.

После исправления на явные имена пользователь:пароль при перезагрузке apache эти имена внеслись в файл config-dp.php, который в той же дериктории.

После возврата в файл config.inc.php имен переменных вместо явных пользователь:пароль  все подключалось без ошибок. Но опять же теперь в явном виде пользователь:пароль храняться в файле config-dp.php. Если в нем изменить пароль, то после перезагрузки apache опять при подключении к phpmyadmin появляются ошибки.

Проблема безопасности пока не решена, хотя причина ошибок найдена.

не хочу хранить пароли в открытом виде в конфигурационных файлах

Выше в коде конфигурационного файла должно быть подключение внешних файлов, где и прописываются конфигурационные директивы в переменных.

Если сервером пользуетесь толь вы один, то пропишите там root.

Подробнее смотрите здесь: https://php-myadmin.ru/learning/instrument-pma.html

Прочитал. В результате изменил две строчки, предварительно задав пользователю phpmyadmin пароль:

 /* Optional: User for advanced features */
    /*$cfg['Servers'][$i]['controluser'] = $dbuser;   */
    $cfg['Servers'][$i]['controluser'] = 'phpmyadmin';
    /*$cfg['Servers'][$i]['controlpass'] = $dbpass;*/
    $cfg['Servers'][$i]['controlpass'] = '123';
    /* Optional: Advanced phpMyAdmin features */

Исчезли обе ошибки. Я понял что controluser - это не имя пользователя, а права пользователя, который будет обладать определенными правами.
Но родилось еще пару вопросов:
1. А где должны быть выставлены переменные $dbuser и $dbpass?  В конфигурационном файле? Если да, то в каком? Если в базе данных, то в какой?
2. Я писал, что не хочу хранить пароли в открытом виде в конфигурационных файлах из соображений безопасности. Теперь получается, что если кто то захочет подключиться к базе и подберет пароль пользователя phpmyadmin,то получит доступ к базе, что не есть хорошо. Как можно выйти из ситуации?

Подробнее смотрите здесь: https://php-myadmin.ru/learning/instrument-pma.html

Пропишите там данные пользователя, для работы расширений.

Подскажите пожалуйста, что именно прописать? Надо ли создавать controluser? Зачем controluser используется? Если создавать controluser, то с какими правами?

По второй ошибке Access denied for user 'phpmyadmin'@'localhost' (using password: YES) те же вопросы, но пользователь уже существует. Когда я подключаюсь через web под root почему эти ошибки вываливаются? Я так понимаю, что для каких то своих нужд phpmyadmin использует еще один вход под этим именем (например, когда применяет какие то изменения) или нет?

Как исправить? Установится ли joomla 3 с этими ошибками?

Покапался в статьях везде только описываются проблемы со входом под root и их решения. Менял пароли, не помогает. Открытые пароли в конфигах писать не вариант.

Подскажите, что делать, плиз!