Мы не говорим про ВП в целом, понятно что там крон отключать нельзя.
В топике обсуждается конкретная задача ТС и конкретно для этой задачи крон не нужен.
В случаи ТС зачем он нужен ?
Учтивая задачу ТС, в кроне нету ничего жизненно необходимого для выгрузки сайта в html.
Я имел веду не системный крон, а задачи на WP.
В моем понимании схема ТС выглядит так:
vps 1:
Открыты только два порта 22,80 для одного IP
Перед @backend стоит nginx с авторизацией по сертификату
На этом VPS стоит WP который создает html копию сайта
vps 2:
Открыт порт 22 для одного IP для использования sftp
Открыт порт 80
На этом VPS стоит только nginx для раздачи статики, никаких php/ftp и т.д
На vps1 генерируется html и отправляется на vps2, пользователи видят сайт с vps2 (тот что html).
Если не брать в расчет взлом vps через хостинг или компьютер пользователя, то взлом WP на vps1 или взлом hml на vps2 сводится на минимум.
Для спам ботом главное что ваш сайт есть по нужному/продвигаемому ключу в ПС и чем больше таких ключей в ПС, тем больше будет спама.
Такой скрипт в 2014 может и работал, но сейчас нужно делать все на уровне сервера, совмещая с проверками js/cookie.
Но даже в этом случаи есть очень большая вероятность схватить клоаку.
Ставьте логи запросов и смотрите что происходит, сайты будут ломаться пока не закроете дырку.
Слишком кардинально как по мне, но в целом если закрыть доступ к поддомену на уровне сервера, а так-же отключить всякие кроны и т.д, то будет вполне себе надежно.
Главное не забывать так-же обезопасить сам vps/сервер если вы на нем.
Для начала проверьте сайт антивирусом https://revisium.com/ai/
