La seguridad de su servidor web dependerá completamente de la habilidad y el compromiso de los administradores del sistema, tanto para el sistema operativo como para el software del servidor web. Realmente no importa si el administrador del sistema es usted o alguien más; lo que importa es que la configuración está bajo control y las actualizaciones de seguridad se aplican rápidamente.
Fuera de la experiencia personal, recomendaría como sistema operativo una de las distribuciones principales de Linux, por ejemplo. Debian , Fedora o Ubuntu : no importa mucho, siempre y cuando verifique regularmente las actualizaciones y las aplique (por" regularmente "me refiero a" a diario "). Los * sistemas BSD también son alternativas valiosas ( FreeBSD , NetBSD , OpenBSD ) pero generalmente tienen menos apoyo de los servicios de alojamiento y requieren un poco más de conocimiento profundo de lo que está ocurriendo en las entrañas del sistema operativo (sin embargo, su estructura interna, algo más simple y más tradicional, hace que la adquisición de tal conocimiento sea un poco más fácil que en el caso de Linux). La base de usuarios relativamente pequeña de los sistemas * BSD también los hace objetivos menos probables para los atacantes, que es "Seguridad a través de la incompetencia del atacante", que es incluso menos confiable que "Seguridad a través de la oscuridad", pero aún funciona en la práctica.
Si usted es no el administrador del sistema del servidor web, como sugiere en otro comentario, confíe en los administradores de sistemas reales para hacer su trabajo correctamente. Este es uno de estos casos en los que usted tiende a obtener lo que paga. Suerte desempeñará un papel importante en este asunto: cuando se utiliza el alojamiento compartido, está aislado nominalmente de otros clientes del mismo sistema, pero en la práctica, el aislamiento perfecto no es un hecho. Afortunadamente, la mayoría de las personas son honestas, como tiende a demostrar la existencia continua de la civilización.
Para sus contraseñas de acceso, lo más importante es que solo use máquinas "limpias". La contraseña más larga o el mejor "archivo clave" en una memoria USB no lo salvará si lo escribe o inserta en un sistema de escritorio comprometido. Mantener un sistema de escritorio "limpio" funciona en la misma línea que mantener un servidor "limpio": desconfíe de lo que instala, verifique las actualizaciones de seguridad. Usted tiene tiene algunas posibilidades adicionales con los sistemas de escritorio; por ejemplo, puede arrancar un sistema "seguro" de una memoria USB (o un disco duro externo USB), sin tocar el disco duro interno. De esa manera, podría mantener una separación de roles: el sistema operativo en el disco interno es para actividades "riesgosas" (juegos basados en Windows, navegación web ...) mientras que el sistema de arranque USB se reservaría para la administración del servidor web.
SSL y SFTP son tecnologías seguras, pero solo actúan como túneles. Protegen los datos en tránsito entre dos puntos (por ejemplo, un navegador web en la máquina de algún usuario y el servidor web) pero no hacen nada con respecto a la seguridad de ambos puntos finales. SSL y SFTP no salvarán tu skin; es más, un caso de no usarlos crearía agujeros adicionales con los que lidiar.
Descargo de responsabilidad: he presentado opiniones bastante subjetivas sobre los méritos comparativos de los sistemas operativos. Sin embargo, considero que tengo suficiente experiencia y un ego lo suficientemente inflado como para tener derecho a hacer tales afirmaciones. La experiencia de otras personas puede diferir; He oído que hay algunos administradores de sistemas de Windows que están contentos con su seguridad. Sin embargo, la suposición principal es consensual: conoce tu sistema . No tendrás mucha seguridad mientras los sistemas operativos y el software sigan siendo "mágicos" en tus ojos. El conocimiento disipa la magia.