Дело не только вы дырах в скриптах. При настройке когда апач запускается от имени пользователя какой смысл устанавливать права на файлы *.php, когда их элементарно можно сменить тем же скриптоп php. Абсурд. Но тем не менее у множества хостеров присутствует такая настройка.
wordpress. трафик нужен без ограничений, но будет в разумных пределах.
