если сайт даже и взломают, злоумышленику сильно затруднит если допустим есть форма преднозначеная для залития изображений, то скрипт должен определять файл изображение это или нет, и в соотвецтвующию папку лить где запрещено выполнение каких либо скриптов, запреты можно выстовить в .htaccess, на файлы преднозначеные только для чтения ставь права 0644, на котологи 755, плюсь зделай на странице которая выводит ошибку, чтоб заносила в БД, желательно на стороннем сервере, пре случаи получения злоумышленика к бд, чтоб не мог удолить логи ошибок и на последок, усложни алгоритм хеширования твоих паролей...