Ошибки в части php {} файлов конфигурации vhost делают файлы php "читаемыми" с их исходным кодом, как текстовые файлы.
Есть ли глобальная настройка, например в конфигурации по умолчанию, чтобы запретить доступ к файлам php без fastcgi?
Вы можете просто использовать:
location ~ \.php$ {
deny all;
}
в случае, если вы хотите, чтобы файлы php были недоступны для всего сервера или:
location ~ /path/to/dir/(.+)\.php$ {
deny all;
}
Для конкретного места.