Um modo de prática recomendada para fazer isso é com location
blocos que recusam pedidos de arquivos PHP.
Por exemplo:
server {
location /vb_attach {
location ~ \.php$ {return 403;}
}
location /vb_album {
location ~ \.php$ {return 403;}
}
location ~ \.php {
...
}
}
O wiki nginx tem várias alternativas para evitar esse problema de segurança específico que você pode achar útil em outras circunstâncias também.