https://core.trac.wordpress.org/ticket/11122
El problema básicamente reside en...
Código
AddHandler application/x-httpd-php .php
Ya que eso indica que cualquier archivo que tenga .php (aunque no sea al final), debe ser ejecutado como PHP. Esto hace que archivos del tipo *.php.jpg o *.php.txt se ejecuten como PHP sin mas.
La solución que proponen es quitar ese handler y solo añadir un whitelist en el .htaccess principal (el que esta en el root).
Código
RemoveHandler php5-script .php <FilesMatch "\.php$|\.php5$|\.php4$|\.php3$|\.phtml$|\.phpt$"> SetHandler php5-script </FilesMatch>
Creo que es una solución optima aunque lo suyo seria aplicarlo a nivel httpd.conf (en caso de poder).
PD: No sabia que existía tal bug .. buena info
PD2: Aunque viendo el año del bug (hace 4 años).. los del hosting donde estas deberían ir pensando en actualizarse ·_·
Edit: Al parecer los handlers de tu config eran diferentes así que he modificado el post.
Saludos