Вообще-то можно и поволноваться.
Может быть случай мисконфига niginx + backend (может быть бывают и случаи отвала бэкенда, но такого я не встречал, но чем черт не шутит), когда php-скрипты не будут корректно обработаны бэкендом и, вместо нормального процесса интерпретации, скрипт будет отдан плейн-текстом клиенту.
Чтобы минимизировать потенциальный урон от такого следует:
- сделать единую точку входа в приложение, (index.php в public_html и не более того);
- скрипты движка (фремворка), конфиги и прочее, к чему клиент в любом случае не должен иметь доступ, вынести за пределы public_html.
