优化：取消暴漏8888端口

docs/quick-start.md

@@ -14,10 +14,9 @@
 - **端口要求**: 需要开放以下端口
   - `80` - HTTP 访问（自动跳转到 HTTPS）
   - `443` - HTTPS 访问（主要访问端口）
-  - `3000` - 前端开发服务（开发模式）
-  - `8888` - 后端 API 服务
   - `5432` - PostgreSQL 数据库（如使用本地数据库）
   - `6379` - Redis 缓存服务
+  - 后端 API 仅容器内监听 8888，由 nginx 反代到 80/443，对公网无需放行 8888
 
 ## 一键安装
 
@@ -64,10 +63,10 @@ sudo ./install.sh --no-frontend
 80    - HTTP 访问
 443   - HTTPS 访问  
 3000  - 前端服务（开发模式）
-8888  - 后端 API
 5432  - PostgreSQL（如使用本地数据库）
 6379  - Redis 缓存
 ```
+> 后端 API 默认仅在容器内 8888 监听，由 nginx 反代到 80/443，对公网无需放行 8888。
 
 #### 推荐方案
 - **国外 VPS**：如 Vultr、DigitalOcean、Linode 等，默认开放所有端口，无需额外配置
@@ -157,8 +156,8 @@ DB_USER=postgres        # 数据库用户
 DB_PASSWORD=随机生成     # 数据库密码
 
 # 服务配置
-SERVER_PORT=8888        # 后端服务端口
-PUBLIC_HOST=server      # 对外访问地址
+SERVER_PORT=8888        # 后端容器内部端口（仅 Docker 内网监听）
+PUBLIC_HOST=server      # 对外访问地址（远程 Worker 用，配置外网 IP 或域名）
 DEBUG=False             # 调试模式
 
 # 版本配置

docs/wordlist-architecture.md

@@ -231,8 +231,8 @@ sequenceDiagram
 WORDLISTS_PATH=/opt/xingrin/wordlists
 
 # Server 地址（Worker 用于下载文件）
-PUBLIC_HOST=your-server-ip
-SERVER_PORT=8888
+PUBLIC_HOST=your-server-ip  # 远程 Worker 会通过 https://{PUBLIC_HOST}/api 访问
+SERVER_PORT=8888  # 后端容器内部端口，仅 Docker 内网监听
 ```
 
 ## 八、常见问题
@@ -244,8 +244,8 @@ A: 更新字典内容后会重新计算 hash，Worker 下次使用时会检测
 ### Q: 远程 Worker 下载文件失败？
 
 A: 检查：
-1. `PUBLIC_HOST` 是否配置为 Server 的外网 IP
-2. Server 端口（默认 8888）是否开放
+1. `PUBLIC_HOST` 是否配置为 Server 的外网 IP 或域名
+2. Nginx 443 (HTTPS) 是否可达（远程 Worker 通过 nginx 访问后端）
 3. Worker 到 Server 的网络是否通畅
 
 ### Q: 如何批量导入字典？