Dipende. Se il server ha risposto alle uova di Pasqua di PHP, hanno scoperto che sei su PHP. Ora probabilmente stanno esaminando un elenco di framework PHP comuni alla ricerca di tali URL. Devi assicurarti che a tali URL non sia possibile accedere da nessuno che non sia te stesso e il tuo indirizzo IP predefinito nel file .htaccess. In caso contrario, troveranno gli URL e inizieranno ad attaccarli per ottenere l'accesso.

Best practice per la protezione di un'app Web

• Assicurati che le pagine amministrative o dannose siano accessibili solo da indirizzi IP statici predefiniti che devono accedere
• Assicurati che chiunque non abbia accesso al tuo sito web non abbia accesso al tuo sito web (se è solo per un determinato paese, limita l'accesso utilizzando un servizio GEO-IP)
• Utilizza i tuoi servizi e i tuoi dispositivi di controllo per bloccare tutte le funzionalità della tua applicazione / server fino a quando non raggiunge lo stato minimo di utilizzo (blocca le porte in ingresso che non ti servono, limita l'accesso, limita i tassi di accesso IP, così avanti e avanti)
• Assicurati di non perdere dati
• Assicurati che il tuo SSL sia aggiornato e non utilizzi codici vulnerabili non aggiornati

Ci sono molte cose che ho dimenticato, ma questo è un buon primo passo.

È un VPS, quindi c'è il rischio che qualcuno sul lato host accetti il tuo cert e scriva il filesystem. C'è anche il rischio di uno scarso isolamento da parte di altri clienti che potrebbero fare lo stesso.

C'è il rischio di un trojan sul computer client.

Esiste il rischio che qualcuno possa spoofingare l'IP nei log o effettuare il proxy tramite la Cina.

C'è il rischio che i tuoi URL non siano così incurabili come credi.

Se non ci sono prove di intrusione, non mi preoccuperei troppo. Presumibilmente non stai usando un VPS per qualcosa di particolarmente confidenziale.