Para mim, muitos problemas, como esse, poderiam ser facilmente evitados se as hospedagens compartilhadas se importassem pelo menos um pouquinho com segurança. Por exemplo, desativar por padrão qualquer acesso à arquivos PHP dentro da pasta wp-content já seria muito bom. Afinal de contas, a grande maioria dos sites WordPress estão nessas hospedagens compartilhadas.