Некоторые основные меры безопасности:

* Внимательно проверьте права всех файлов и каталогов на сайте. Закройте по айпи все админки, полностью закройте доступ из веба ко всем каталогам, в которых хранятся скрипты и файлы, которые инклудятся.
Весьма желательно, чтобы напрямую из веба нельзя было получить доступ ни к каким файлам с правами на запись, кроме файлов, находящихся в каталогах для загрузки файлов.

* Запретите выполнение php скриптов в каталогах, где разрешена загрузка файлов.
Таким образом, даже если злоумышленнику удастся залить шелл, он не сможет получить к нему доступ напрямую.

* Скрипты, которые выполняются в cron'e, не должны иметь права на запись (например, во избежание ситуаций когда злоумышленнику удается изменить скрипт, запускающийся из cron под правами root'a, и получить доступ к root аккаунту).

* Отдельного упоминания заслуживает фукнция eval. Старайтесь использовать ее как можно реже. Запретите php запись в файлы шаблонов, которые выполняются в eval, да и вообще изменение всех данных, которые потом тянутся в какой-либо скрипт для выполнения в eval.

* Внимательно изучите настройки php.ini, в том числе те, о которых написано в первом посте. Правильная настройка php позволит создать надежную и прочную основу для продуманных и хорошо написанных скриптов, а так же сгладить некоторые непродуманные вещи в скриптах.

Ну и конечно же изучайте сорцы ваших скриптов, очень важна проверка входящих параметров, и уделите особое внимание csrf, поскольку, например, возможность успешной отправки злоумышленником запросов к форме от вашего имени - это уже потенциальная проблема. Ну и конечно же использование в инклудах данных, полученных от пользователя - весьма плохая идея.