La sicurezza ha innumerevoli aspetti da considerare, non c'è una checklist di cose che una volta fatte ti mettono al sicuro, specialmente non per situazioni così generiche. Quello che può fare un utente che normalmente non lavora in questo campo è seguire delle best practices (fare sempre aggiornamenti, usare password sicure, per SSH usare solo autenticazione via chiave es. RSA4096). Per un webserver di solito il fattore più importante è la web application che intendi installarci sopra (un blog, un CMS, un ecommerce ecc): una volta messo in sicurezza pannello di controllo e accesso remoto, questa sarà la superficie d'attacco più ampia, quindi meglio scegliere applicativi ben collaudati e con aggiornamenti frequenti per ridurre il rischio (senza poterlo eliminare del tutto).