Ziemlich gruseliges Zeugs.
https://codex.wordpress.org/Nginx oder https://wiki.nginx.org/wordpress
Das wichtigste ist dabei in einem Kommentar versteckt:
# NOTE: You should have "cgi.fix_pathinfo = 0;" in php.ini
Wobei ich es vorziehe, zusätzlich auch in nginx zu prüfen, ob die PHP Datei überhaupt existiert.
So ähnlich wie hier: https://www.nginx.com/resources/wiki/start/topics/examples/phpfcgi/
Denn sonst kann man jede Datei durch den PHP Parser schicken und so z.B. in Bilddateien versteckten PHP-Code auf dem Server ausführen.
nginx und php ist leider ein wenig kompliziert. Man kann da leicht einen Fehler machen.
Bei Apache bekommst du mehr oder weniger ein Standard-Setup frei Haus. Bei nginx machst du alles zu Fuß. Und wenn du dir da eine Config zusammenkopierst musst du trotzdem verstehen, was da passiert.
Lesenswert dazu auch nginx pitfalls