Sokat fogok írni, de ne ijedj meg, kicsit magamnak is írom :)
- ssh másik porton legyen (bár idővel megtalálhatják)
- ssh AllowUsers [felsorolás kik léphetnek be ssh-val]
- fail2ban és ha nem félsz hogy kizárod magad (mert másik IP-ről is be tudsz lépni), akkor a bantime legyen nagyobb és a maxretry meg kisebb
- php beállítások alapos átnézése (szerintem ez az egyik gyenge pont, pl. open_basedir, form POST, file upload)
- composer outdated ellenőrzés és npm audit (ezek a másik gyenge pontok, a sok külső csomag)
- VPN kiépítése és akkor ssh-zni csak a belső IP-ről engeded
- Apache és Nginx javasolt biztonsági beállítások (rá kell keresni a neten)
- HTTPS használata (bár ezt írtad is)
- a nem használt szolgáltatásokat állítsd le (pl. FTP, SMTP, POP3, IMAP)
- levelek küldését ne a szerverről intézd, használj külső SMTP szervert (pl. mailgun)
- tűzfal használata
- erős jelszavak vagy SSH kulcs használata javasolt
- docker / konténer környezet (így ha bejut mondjuk a PHP-n keresztül, akkor a VPS rendszerét nem igazán / nehezen fogja elérni)
- logwatch beállítása és a kapott levelek időszakos átnézése
- security frissítések telepítése minél hamarabb
- ja és a saját kódod tesztelése :), API végpontok vizsgálatára is vannak szolgáltatók
- a fail2ban-ban egyedileg figyelem a wp-login, wp-content próbálkozásokat és mivel tudom hogy nincs WP oldalam, letiltom ezeket az IP-ket is