Я правильно понимаю, что в идеале по любому адресу ?q= должно отдавать 404? Или же должен быть редирект на страницу без ?q=? Или что вообще должно получиться?

У меня ЧПУ включены и нормально работают. Но вот этот момент меня настораживает. Получается, что надо блокировать 2 страницы /user и /?q=user

Я как раз его и брал как основу. Я не понимаю, что подразумевается под матчастью? Про что мне нужно прочитать? Какие ключевые отличия конфигурации друпала например, от Wordpress? Что нужно ещё для php в данном случае?

Поставил как временное решение return 403 для админки и входа. Вроде работает, но это явно не выход.

Я предполагаю, что друпал обращается к какому-то файлу в этих каталогах, но я понятия не имею к какому.