öncelikle geçmiş olsun,
scriptlerinizin shelller ile kolayca çekilip dağıtılması elbette hoş değil, hatta can sıkıcı. ozkula açısından sunucu taraflı yapılabilecekler zaten sınırlıdır.

benim görüşüm cagefs ile dizin atlatma engellense cxs ile exploit, shell mücadelesi verilse, mod_security ile kurallandırma yapılsa ki suphp ise sunucu (php.ini dolayısı ile) işe yaramayacaktır, her durumda basit bir upload açığı veya izinselliğiyle hostunuzun dahilinde üst dizine erişemeden kendi hesabınızda verileri çekebilmektedirler.

c99, r57 eğer suphp ise sunucu tarama haricinde malesef çalışamaz konuma getirilemiyor. bir şekilde safe_mode on bile olsa kişi shell atıp dosyaları tek tek indirebilir. burada sunucu hatalı demek yanlış olur çünkü php.ini kullanım isteği herkesin özgür olması için bi nevi mecbur. özkula olağan taramalarını ve mod_security muhtemelen kullanıyordur ancak tamamen engelleyebilmeleri siz bir önlem almazsanız malesef zor.