Use uma combinação de try_files
e security.limit_extensions=php
e simplesmente certifique-se de que a pasta de uploads que você criou não tenha absolutamente nenhuma chance de executar qualquer código. A última coisa é a coisa mais importante e a única coisa que vai mantê-lo seguro desta questão até o final dos tempos.
Exemplo:
/var/www/src -> execute PHP files
/var/www/uploads -> only accessible for static delivery