Вообще - да.

Уже пришли к мнению, что тут нужно средоточие факторов, комбинацию которых хрен найдешь.

Вообще, если посмотреть на проблему массовых взломов, то перед злоумышленниками встаёт 3 проблемы:

1) Обойти функцию trim() в CMS.

2) Обойти resize картинки в случае загрузки исполняемого кода как изображения.

3) Обойти переименовывание файлов после аплоадинга.

Если 2 и 3 пункт ещё могут как-то решиться, например, этим способом, и нахождением CMS, где загруженные файлы не переименовываются. То обход первого пункта — наиболее трудный.

А в совокупности все 3 проблемы очень сильно ограничивают злоумышленников в своих массовых взломах. Так что по сути, бояться сильно то и нечего.