O LEIAME informou o que fazer. As partes relevantes:
* Install OJS so that the files directory is NOT a subdirectory of
the OJS installation and cannot be accessed directly via the web
server.
3. Create a directory to store uploaded files (submission files, etc.)
and make this directory writeable. It is recommended that this
directory be placed in a non-web-accessible location (or otherwise
protected from direct access, such as via .htaccess rules).
Isso significa que o diretório de arquivos que você usa para uploads não deve estar em DocumentRoot
. Claro que você tem que especificar sua localização em config.inc.php
se você já completou a instalação.
[files]
; Complete path to directory to store uploaded files
; (This directory should not be directly web-accessible)
; Windows users should use forward slashes
files_dir = files