PHP eval(gzinflate(base64_decode(..)))hack – 如何防止它再次

eval (gzinflate(base64_decode('s127ezsS/...bA236UA1')));

该代码导致包含另一个PHP文件(cnf??g.php),这导致一些与药物相关的垃圾邮件被显示(但只有googlebot等可见).这看起来像WordPress的制药黑客,除了我们没有运行WordPress.该代码已被删除,但我希望防止此类事件在未来发生.

我意识到这是一个相当广泛的问题,并且可能有无数的安全漏洞可能是负责任的,但我想我会把它放在那里以防万一过去有过这样的问题.

哪些潜在的安全漏洞可以允许上传这些PHP文件？我该怎么做才能防止将来发生这种情况？