Klar ist es eine Riesendummheit des Users. Aber genau diese Dummheiten werden eben genutzt. Es ist auch eine Riesendummheit in PHP mit register_globals zu arbeiten. Dennoch wurde es jahrelang gemacht und ist erst in den letzten Jahren Default der meisten Distributionen geworden, das zu verbieten.

Diese ganze "Hackerei" teilt sich für mich grob in zwei Teile auf:
Massenabfertigung und Individualservice.
Die Massenabfertigung (für Spamattacken, Botnetze usw.) hält sich nicht damit auf, besonders raffinierte Sicherheitslücken aufzudecken. In der Zeit, eine Minihürde zu überwinden, sind schon hundert andere System infiziert, die diese Mini-Hürde eben nicht haben.
Pech hast Du, wenn Du den Individualservice buchst (why-ever - du hast Dich bei irgendwelchen Gruppen unbeliebt gemacht usw.). Wenn der Atem der Angreifer lange genug ist, werden sie etwas finden, um einzudringen. Punkt.

Aber der Markt zielt auch eher auf die erste Gruppe ab. Ich habe Webspace mit einem Einfallstor. Jemand dringt ein und seine erste Aktion wird sein, seinen Schadcode an andere Stellen zu verteilen. Und dabei werden in der Tat die Löcher der untersten Stufe zuerst versucht. Alle PHP Dateien auf dem Server finden und in diese oder jene kommen dann eben paar Zeilen zusätzlich. Wenn 100 Kunden auf einem Server sind und nur einer gerade "versuchsweise" mal alle Rechte auf 777 setzt, dann hat der eben gewonnen.

IT-Sicherheit geht so. Suche Dir die einfachsten Einfallstore. Wenn Du dort keine findest, wäge Aufwand/Nutzen/Können ab und versuche es weiter oder suche Dir das nächste leichte Opfer.