Köszönöm az eddigi válaszokat.
Az input, output lánc alapértelmezetten DROP, input láncon csak a 80 és 443 szükséges, hogy nyitva legyen szűrés nélkül. FTP nem lesz, SSH pedig csak pár fix IP cím felől lesz elérhető. Feloldó DNS kiszolgálók és smtp szerverek ( alkalmazás küld levelet ) szintén saját kezelésben vannak, az output lánc szabályai is pontosan megadhatók.
fail2ban-t minden esetben használom, itt értelmét veszti mivel se FTP sem pedig SSH nem lesz, levelezés nem ezen lesz. Viszont máshol WordPress-hez is használom, annak mintájára az alkalmazást fel lehet készíteni, hogy hibás auth esetén írjon a syslogba és ehhez készítek fail2ban szabályt.
CloudFlare, Incapsula a CDN miatt is előnyös lehet. Igaz kicsit más, de a Bitninja mindenképp szóba jön.
Cert nem működik itt mert igaz szűk közönség, de téma miatt és nem tudom előre kik azok, épp ezért országra sem szűrhetek mert Kína pl. fontos szereplő lesz nekünk, holott IT szempontból a leggázosabb talán.
Az oldalon az SSL egyértelmű, ha rajtam múlik semmit nem teszek ki nélküle. Nagyker áron valami bruttó 5.2$-ért kapom.
AppArmort átnézem, biztosan van hozzá anyagom.
SSH kulcs hozzáférés lehet nem fog működni, nem bonyolítom a fejlesztő életét. Az FTP-t így is elszedem tőle. SSH pedig 3 db IP címről lesz elérhető.
Van esetleg értelme a HTTP forgalmat egy külön szerveren ( VPS-en ) átengedni és ott belenézni a csomagokba? Mivel SSL lesz így alapból zűrös a dolog.