Tar: создайте новый архив из фильтрованного архива

Я на самом деле сказал бы, что проблема заключается в:

"Принимая хороший Код PHP".

Вы не можете считать это само собой разумеющимся. Идеально, тот сервер войдет в демилитаризованную зону, где LAN может получить доступ к нему, но демилитаризованная зона не может получить доступ к LAN. Идея состоит в том, что Вы предполагаете, что Ваш общедоступный сервер будет поставлен под угрозу, и затем Вы хотите ограничить повреждение. При наличии отдельного брандмауэра между Вашей LAN и демилитаризованной зоной Вы, вероятно, ограничиваете повреждение. Таким образом с установкой демилитаризованной зоны, подверсия, вероятно, не собирается быть на общедоступном сервере. Если Вы не можете позволить себе этот дополнительный сервер, создавание виртуальной машины и наличие общедоступного сервера в этом могли бы быть демилитаризованной зоной своего рода бедного человека.

Я также сделал бы дополнительный шаг, чтобы только открыть порты локальной подсети, которые необходимы (Вероятно, необходимо доверять Вам LAN больше, но все еще ограничить ее, если Вы можете). Вероятно, не случится так, что многие при использовании модуля состояния (redhat/centos установка по умолчанию).

Кроме того, не забывайте об обновлениях системы защиты для ОС и приложений.