Внедрение кода — Может ли хост, подключенный только к JSON, возвращенному файлом PHP, быть введен?

У меня есть сервер, который был взломан несколько раз. После удаления почти всего, теперь у меня есть только несколько статических файлов (html, js, jpg) и один php, который возвращает только массив JSON (даже не <?php ?>). Возможно .json в совершенстве.

Может ли какой-нибудь хакер ввести код в любом случае?
Моя поддержка хостинга настаивает, что это так. У меня действительно есть сомнения, но они не хотят брать на себя какие-либо обязанности. Любая идея?

(Извините, если этот пост не следует ни одному правилу)

Здесь чат:

 Chat ID: 41409607 Initial Question: Injections keep coming even I only have a single php file.. can you scan, please? Maybe there is a cron or something hidden?
10:18:49 PM Chuck R Hello Mario, this is Chuck with Sitelock. usually this can happen with URL injection.
10:19:15 PM Mario Morales againt what?
10:19:26 PM Mario Morales I have only static pages
10:19:41 PM Mario Morales and a php that returns a string. No code on it
10:20:04 PM Mario Morales :(
10:21:24 PM Chuck R There is a page, meaning it can be injected.
10:23:46 PM Mario Morales even it has only a JSON on it?
10:24:02 PM Chuck R Yes, unfortunately.
10:24:18 PM Chuck R The only way for a site not be hacked is to not have it, or for it to be parked.
10:26:17 PM Mario Morales Really?
10:26:26 PM Mario Morales First time I heard that
10:27:42 PM Chuck R Yes. Definitely is unfortunate but it's the way it is.
10:29:01 PM Mario Morales I can't find an example of how a php file containing only "[{key:value},{key:value}]" can be injected.
10:29:05 PM Mario Morales but ok
10:29:39 PM Mario Morales Let me copy the chat and ask on some forum
10:29:45 PM Chuck R Well it's happening.