La sicurezza del tuo server Web dipenderà interamente dalla competenza e dall'impegno degli amministratori di sistema, sia per il sistema operativo che per il software del server Web stesso. Non importa se il sysadmin sei tu o qualcun altro; ciò che importa è che la configurazione sia sotto controllo e gli aggiornamenti di sicurezza siano stati prontamente applicati.
Per esperienza personale, raccomanderei come OS una delle principali distribuzioni Linux, ad es. Debian , Fedora o Ubuntu - quale non importa molto fintanto che controlli regolarmente gli aggiornamenti e li applichi (con" regolarmente "intendo" su base giornaliera "). I sistemi * BSD sono anche valide alternative ( FreeBSD , NetBSD , OpenBSD ) ma di solito hanno meno supporto dai servizi di hosting e richiedono una conoscenza un po 'più approfondita di cosa sta succedendo nelle interiora del sistema operativo (tuttavia, la loro struttura interna un po 'più semplice e tradizionale rende l'acquisizione di tale conoscenza un po' più semplice rispetto al caso Linux). La base di utenti relativamente più piccola dei sistemi * BSD li rende anche bersagli meno probabili per gli aggressori, ovvero "Sicurezza tramite Incompetenza di Attacker", che è ancora meno affidabile di "Sicurezza attraverso l'oscurità", ma funziona ancora nella pratica.
Se sei non il sysadmin del sistema server Web, mentre fai un suggerimento in un altro commento, allora fai affidamento sul fatto che gli amministratori di sistema effettivi svolgano correttamente il loro lavoro. Questo è uno di questi casi in cui si tende a ottenere quello per cui si paga. Luck svolgerà un ruolo importante in questa materia: quando si utilizza l'hosting condiviso, si è nominalmente isolati da altri clienti dello stesso sistema, ma in pratica l'isolamento perfetto non è un dato di fatto. Fortunatamente, la maggior parte delle persone è onesta, come la continua esistenza della civiltà tende a dimostrare.
Per le tue password di accesso, ciò che conta di più è che usi solo macchine "pulite". La password più lunga o il miglior "file chiave" su una penna USB non ti salverà se lo inserisci o lo inserisci in un sistema desktop compromesso. Mantenere un sistema desktop "pulito" funziona sulla stessa falsariga di un server "pulito": fai attenzione a ciò che installi, controlla gli aggiornamenti di sicurezza. fai hai qualche possibilità in più con i sistemi desktop; ad esempio, è possibile avviare un sistema "sicuro" di una chiavetta USB (o un disco rigido esterno USB), senza toccare l'hard disk interno. In questo modo, è possibile mantenere una separazione dei ruoli: il sistema operativo sul disco interno è per attività "rischiose" (giochi basati su Windows, navigazione Web ...) mentre il sistema avviato da USB sarà riservato per l'amministrazione del server Web.
SSL e SFTP sono tecnologie sicure, ma fungono solo da tunnel. Proteggono i dati in transito tra due punti (ad esempio un browser Web sulla macchina di alcuni utenti e il server Web) ma non fanno nulla per la sicurezza di entrambi gli endpoint. SSL e SFTP non salveranno la tua pelle; è più un caso di non usarli creerebbe fori aggiuntivi con cui contendersi.
Disclaimer: ho presentato pareri piuttosto soggettivi sopra riguardo ai meriti comparativi dei sistemi operativi. Tuttavia, ritengo di avere sia sufficiente esperienza sia un ego sufficientemente gonfiato da avere il diritto di formulare tali affermazioni. L'esperienza di altre persone può essere diversa; Ho sentito che ci sono alcuni amministratori di sistema di Windows che si accontentano della sua sicurezza. L'assunto principale, tuttavia, è consensuale: conosci il tuo sistema . Non avrai molta sicurezza finché il sistema operativo e il software rimarranno "magici" ai tuoi occhi. La conoscenza dissipa la magia.