Если есть сомнения в движке или что вы там используете, а править код нет возможности, то можно принять простые меры:
1. выставить chmod на каталоги 755 и файлы 644, а если имеются каталоги для загрузок, то только там 777.
2. Потратить немного времени и составить список всех php скриптов, которые вызываются напрямую и в конфиге nginx разрешить эти локейшены обрабатывать как php скрипты, а на все остальные php локейшены выдавать 403.
3. для большей "паранои" аплоад каталоги можно отслеживать через fail2ban и банить при первой же попытке вызвать оттуда любой php скрипт (ведь там могут быть только картинки/файлы, но никак не php файлы).
Я проделывал подобное в нескольких местах (стояла joomla 1.2) и у атакующих резко снижался интерес к такому сайту.
