Довольно часто для закачивания картинок или других файлов на сайт средствами php используется папка, где разрешена запись для всех (с устанавленными правами 777). Установка таких прав на папку позволяет злоумышленику использовать эту папку для закачки так называемого "шелла", с помощью которого можно полностью нарушить работу сайта.
Чтобы избежать этого, необходимо выставить правильные права (711 на папки и 644 на файлы) или запретить выполнение php-скриптов в таких папках.
Создаем файл .htaccess и пишем (если есть, то добавляем):
RemoveHandler application/x-httpd-php .inc .php .php3 .php4 .php5 .php6 .phtml
RemoveType php
Options -ExecCGI -Indexes
В некоторых случаях достаточно прописать:
RemoveType .php
Options -ExecCGI -Indexes
Не забудьте сохранить файл.
Данные директивы в .htaccess позволяют запретить выполнение любых php-скриптов в текущей и вложенных папках.