Пума Тайланд

нгинкс
сетевые реквезиты указываются в настройках контейнера

сервер:
- запретил вход из под рута по SSH
ни разу на тысячах серверов у меня не сломали рута за 10 лет

- поменял порт SSH
просто засканить можно ваш новый порт, тоже смысла нет

- повесил fail2ban на mysqld, ssh с количеством попыток 3
ни разу у меня не подобрали пароль на мускул или ссх на тысячах серверов за 10 лет , используйте длинные генеренные пароли и спите спокойно, от реальной угрозы если вы профукали пароль это не спасет

- для каждого сайта создал своего пользователя mysql
о боже , а что как то по другому бывает? даже говнопанели создают так

- запретил заходить выше /var/www по SSH, без sudo su
вообще зачем кому то разрешать туда заходить

используйте авторизацию по ключам а не по паролям для ссх

делать не реврайт а редирект
склейку можно сделать указав каноникал урл

при таком обьеме памяти примерно нисколько ) даже 10 юзеров онлайн смогут положить на динамике вашу впс, если у вас конечно не статические сайты.

Вы сами ответили на свой. Вопрос

может
tryfiles + proxy cache

Что такое вейт и как вы тестируете

Откройте5 диспетчер задач и посмотрите как у вас там что загружено
ПОставьте дебагер и посмотрите почему у вас долго выполняются пхп скрипты, оптимизируйте конфиг мускула, так как по дефолту там не включен например кеш.

ваш путь в никуда откажитесьб от этого говнокода и сделайте все нормально , а не костыль на костыле.

У вас там вообще одна строка делает редирект по сути, куда уж короче.

Проще все проксипасснуть и нормально настроить кеш в прокси ПАСЕ

тут вам проще отказаться от панели
нативно там поддежки нгинкс и пхп фпм нет до сих пор

Так у вас в конфиге так и написано если нету файла то обратиться в индекс пхп
try_files $uri $uri/ /index.php;

Логично передать все параметры в него в зависимости от cms
Для вордперсса скажем вот так
try_files $uri $uri/ /index.php?q=$uri&$args;

нгинкс можно включить напрямую из плеска, пхп тоже насколько помню там можно поставить более новый средствами плеска, а не самой ос.