Meg a disable_functions-el. :) Az mpm_itk mi ellen fogja megvédeni? Az különösen remek, hogy ha ua. juzer nevében fut a PHP szál, aki fullosan eléri a docrootot. A jelenlegi kedvencem egy .htaccess-et, amit egy world writeable docrootba tettek fel egy Joomla hibán keresztül... Tudom tudom, legyen a .htaccess kikapcsolva, de sajnos nem mindenhol lehet olyat. A korlátozott SSH usernél egy https-re és nem valami default helyre rakott phpmyadmin egy fokkal jobb szerintem. Az ilyen "azon keresztül jöttek be" c. dolgok általában robotok vak próbálkozásai, ugyanis ha nekiállnak módszeresen a gépnek akkor elsőre magát az alkalmazást (Apache, SSH, bármi) fogják támadni, ami elérhető.
Az open_basedir a shell hívás (különösen a shell_exec) tiltással együtt ér valamit és az sem árt ha a Joomla site-ok fölé a netet fellelhető rewrite szabályokat beilleszti az ember. Ezen egy kis mod_security-val lehet még javítani, de sajnos az alapvető szabályokon kívülieknél többször tapasztaltam, hogy teljesen normális dolgot fognak meg.
Ha kevés felhasználós a szerver, akkor a mail() függvény nyugodtan letiltható és csak SMTP azonosítással fogadjon levelet helyből is. Erre remek a PHPMailer a PHP oldalra.
A webszerveres cumót érdemes Linuxon legalább chrootba és szerencsés esetben grsec+pax-al erősített kerneles gépen futtatni. FreeBSD-n pedig a jail egyszerűen remek erre. Az is sok problémától megkímél, ha hirtelenjében egy elég kopasz helyen találják magukat a próbálkozók.