Наверное причина в том что вы даже 5 письмами в личку не смогли пояснить мне причину ваших проблем.
"Как накручивают себе баланс" это не вопрос.
Какие платежные системы стоят хотя бы сказали.

Но вернемся к основному вопросУ - сайты торгующие чужими краденными скриптами и нужно нагибать таким образом.

Здравствуйте, я вам в личку не писал. И краденными скриптами не торгую, у меня в магазине несколько авторов которые сами пишут и продают свои скрипты. Теперь к проблеме. Судя по логам накрутка была через плагин: paymarkettop. У меня платежки Payeer и Free-kassa. 

Скрин из базы: 

https://prnt.sc/m3fhup

id взломщика 222. 

и лог с хостинга:

https://cloud.mail.ru/public/Lcbj/8jwQ3Y6GA все лишние ip отсеял только ip взломщика. Время накрутки как я понял 14:20:33

Но вернемся к основному вопросУ - сайты торгующие чужими краденными скриптами и нужно нагибать таким образом.

У меня на сайте человек накрутил себе баланс вот как он это сделал? 

хакер!?

У меня на сайте человек накрутил себе баланс вот как он это сделал? 

У меня тоже самое, баланс не пополнял а на счету миллион.

Чтобы не получали доступ по прямой ссылке к таким файлам, их можно хранить выше корня, а скачивать программно.

На виртуальной машине не осили как заставить работать и отложил.

По CONFIRMTHERIGHT не очень разобрался.
У меня так - есть поле file в Marketorders которое позволяет залить .jpg одному пользователю и продавать сайту напечатанный принт на базе этого jpg. То есть после заливки кроме админа (условия есть в шаблонах) доступ к оригинальному jpg закрыт (даже владельцу). Сам jpg может заливать любой пользователь.

Added 1 minute later:

#43941 Roffun: 

Index.html кладут в директорию для того, чтобы листинга файлов не было, если нужно дополнительно защитить от прямого вызова php файлы

Речь именно о переборе статичных файлов в папке.

В служебных директориях в корне лежит пустой index.html со следующим содержанием

<h1>Forbidden</h1>
<!-- No directory listing available -->

Надо ли мне (по уму) такой же файл размещать в корнях своих новых плагинов или в папках моей темы. 
 

Index.html кладут в директорию для того, чтобы листинга файлов не было, если нужно дополнительно защитить от прямого вызова php файлы, то в Cotonti используется:

 defined('COT_CODE') or die('Wrong URL.');

Также можно .htaccess положить в директорию с нужными настройками, но это индивидуально.

#43939 Kopusha:

Как вариант улучшения безопасности - у меня реализована заливка файлов через экстраполе file в определенную папку.
 

Не факт что улучшение безопасности. Я когда-то писал плагин Confirmtheright, он как раз создает экстраполе для загрузки проверочных файлов для подтверждения прав на сайт. Оказалось самого экстраполя недостаточно для безопасности, нужно делать проверку на стороне сервера.

#43939 Kopusha:

Это плагин Marketorders, люди покупают файлы и качают их.
 

Чтобы не получали доступ по прямой ссылке к таким файлам, их можно хранить выше корня, а скачивать программно.

<h1>Forbidden</h1>
<!-- No directory listing available -->

Надо ли мне (по уму) такой же файл размещать в корнях своих новых плагинов или в папках моей темы. 
Какие еще шаги сообщество предложит для более грамотного вопроса бесопасности?
Спасибо!

Added 21 minutes later:

Сам же начну отвечать на свой вопрос
Как вариант улучшения безопасности - у меня реализована заливка файлов через экстраполе file в определенную папку.

Это плагин Marketorders, люди покупают файлы и качают их. Что бы не качали получив ссылку на свой оплаченный и другие файлы (люди не переименовывают их к примеру и вполне можно введя прямую ссылку на datas/marketfiles/diplom.txt его скачать, а заставить систему переименовывывать в неудобночитаемо тоже не выход) сделано так - 
при добавлении переименовываем в sys.now+cot_randomstring+оригинальное_имя
На выходе имеем что то вроде 20190129105276c00404c259Diploma.txt
Дико удобно искать файл руками по ftp в случае чего - все и отсортировано да и зная дату можно дернуть по поиску и исключает перебор.