Depende. Si el servidor respondió a los huevos de Pascua de PHP, se dieron cuenta de que estás en PHP. Probablemente ahora estén ejecutando una lista de marcos de trabajo comunes de PHP que buscan esas URL. Debe asegurarse de que nadie más que usted y su dirección IP predefinida puedan acceder a esas URL en el archivo .htaccess. De lo contrario, finalmente encontrarán las URL y comenzarán a atacarlas para obtener acceso.

Mejores prácticas para proteger una aplicación web

• Asegúrese de que solo se pueda acceder a las páginas administrativas o dañinas desde direcciones IP estáticas predefinidas que necesitan acceso
• Asegúrese de que cualquier persona que no debería tener acceso a su sitio web no tenga acceso a su sitio web (si es solo para un país específico, limite el acceso mediante un servicio GEO-IP)
• Utilice sus servicios y dispositivos de control para bloquear tantas funciones de su aplicación / servidor como pueda hasta que se encuentre en un estado de uso mínimo (bloquee los puertos entrantes que no necesita, limite el acceso, limite las tasas de acceso por IP, así sucesivamente)
• Asegúrate de que no estás perdiendo datos
• Asegúrese de que su SSL esté actualizado y no utilice cifrados vulnerables obsoletos

Hay muchas cosas que he olvidado, pero este es un buen primer paso.

Es un VPS, por lo que existe el riesgo de que alguien del lado del alojamiento tome su certificado y analice el sistema de archivos. También existe el riesgo de un aislamiento deficiente de otros clientes que podrían hacer lo mismo.

Existe el riesgo de un troyano en la máquina de su cliente.

Existe el riesgo de que alguien falsifique la propiedad intelectual en los registros o realice un proxy a través de China.

Existe el riesgo de que sus URL no sean tan indiscutibles como cree.

Si no hay evidencia de intrusión, no me preocuparía demasiado. Es de suponer que no está utilizando un VPS para nada particularmente confidencial.