Concordo con sLa, bisognerebbe dare un giro di vite ai permessi (di solito sono la causa principale) anche se questo a volte, e a seconda delle configurazioni, non è sempre comodo.
A questo indirizzo: http://www.kifulab.net/2009/wordpress-mettere-in-sicurezza-la-cartella-uploads/ trovi inoltre un articolo che spiega come disabilitare con .htaccess l’esecuzione di php dalla cartella wp-content/uploads/. Uno dei motivi principali metodi usati per bucare un sito è tramite il caricamento di shell php, tipo la c99, su cartelle con permessi 777 (wp-content/uploads lo è molto spesso).
Cia!