Если кому интересно, как вариант от заливки шелла(а точнее от получения пароля админа путем прочтения файла config.php) поможет md5-хеширование пароля админа.

В файле config.php меняем $password=пароль на $password=хеш_от_пароля.
Файл admin.php переделанный для работы с хешем тут -> http://rapidshare.com/files/112438256/admin.zip.html