На производстве я предпочитаю перенаправлять запросы в .php файлы в соответствии с каталогами, где обработка PHP должна быть отключена к домашней странице или к 404 страницам. Это не покажет исходного кода (почему поисковые системы должны индексировать загруженный вредоносный код?) и будет выглядеть более дружественным для посетителей и даже для злых хакеров, пытающихся использовать материал. Также это может быть реализовано в главным образом в любом контексте - vhost или .htaccess. Что-то вроде этого:
<DirectoryMatch "^${docroot}/(image|cache|upload)/">
<FilesMatch "\.php$">
# use one of the redirections
#RedirectMatch temp "(.*)" "http://${servername}/404/"
RedirectMatch temp "(.*)" "http://${servername}"
</FilesMatch>
</DirectoryMatch>
Корректируют директивы, как Вам нужно.