Есть папка в которую заливают, обычно это uploads изображений для постов (wp-content/uploads для wordpress)
Так вот в этой папке нужно зарезать выполнение скриптов.
Добавьте .htaccess файл с содержимым
Options None
Options +FollowSymLinks
RemoveHandler .php
AddType "text/html" .php .cgi .pl .fcgi .fpl .phtml .shtml .php2 .php3 .php4 .php5 .asp .jsp
