Você só precisa se preocupar em proteger o SSH, eu acho. ufw gerencia o firewall por padrão, mas você precisa configurá-lo . Você também pode usar uma ferramenta como Fail2ban . (Ou use somente hosts conhecidos, use chaves para autenticação AND / OR mova o sshd para uma porta diferente.)
Para a web part, você só pode contar com os mantenedores para corrigir falhas de segurança quando houver necessidade. (Assista a upgrades, atualize quando puder. Isso é tudo que eu acho).