Возможно ли залить шелл в XF?

Вообще возможно?
Если, да - то методы борьбы.
Помню в булке хранили в базе аватары или запрещали скрипты в .htaccess

 

В самом xenforo пока что такой возможности скорее всего нет - просто архитектура движка способствует к тому чтобы писать прямой и безопасный код.
Вот настройка сервера может быть такая что шелл зальется даже если сайт будет статический и вообще без пхп и скорее всего автоматом каким либо ботнетом. Вариантов тут уйма, но ни один из них не относится к ксенфоро.

 

Метод борьбы один - полный контроль над сервером и адекватное администрирование. При использовании обычного веб-хостинга приходиться надеяться на грамотных специалистов хостера. При использовании виртуального сервера также приходиться надеяться на хостера, но уже в меньшей степени. Ну а при выделенном сервере - надеемся на себя.
Один из вариантов на своем сервере - делать ежедневные бэкапы с контролем изменений, плюс защита файлов от модификации (в никсах можно поиграться с правами на файлы и папки, в винде такой номер практически не катит). Также полезно в нужных местах поставить апачевскую защиту (htpasswd), например для phpMyAdmin, если он установлен, плюс админку можно защитить. Ну и т.д.
Сразу скажу, для профессиональных взломщиков львиная доля таких защит не выглядит непробиваемой. Но от школоты и средненьких взломщиков уже достаточно эффективна.