เท่าที่ดู มันจะไปวางไฟล์ไว้ที่ images/stories/ กับแก้ index.php ของเรา
เพราะส่วนใหญ่ คนใช้ joomla มักจะเปิด permission 777 ให้เขียนไฟล์ได้ใน images/stories/ (แต่ของผมก็ 755)
ไม่รู้เป็นที่โฮสหรือเปล่า เพราะเว็บอื่นๆ ที่ใช้ joomla ในโฮสอื่นก็ปกติดี
เลยไปหาวิธีป้องกันเบื้อต้นมาก่อน ง่ายๆ ก็ .htaccess ตัวเดียวเลย วางไว้ที่ images อย่างน้อยมันวางไฟล์ php ไปก็ run ไม่ได้
Options -Indexes
<Files *.php>
Deny from All
</Files>
คิดว่าน่าจะเอาไปใช้กับเว็บอื่นๆ ได้ด้วย นำ .htaccess ไปวางใน folder ที่ใช้ upload file น่าจะช่วยได้ในระดับนึง