До сих пор я использовал следующее в php-расположении моих файлов конфигурации nginx
try_files $uri $uri/ /index.php?$query_string;
Однако я только что видел в руководстве Wordpress Codex, что для эксплойта нулевого дня следует использовать следующее:
try_files $uri =404;
В чем разница между ними с точки зрения безопасности?
Вы используете оба, но в разных местах.
Первый try_files входит в ваш location / и обрабатывает все запросы, поступающие в server. Это не имеет ничего общего с безопасностью и является довольно распространенной настройкой.
Второй try_files идет в PHP location и предотвращает атаку. Обратите внимание, что для этого необходимо, чтобы nginx и PHP читали одни и те же файлы на одном сервере.