Tem muitas coisas que podem ser feitas e depende muito de como sua aplicação é executada. Vamos supor que esteja em um VPS que você tem muito controle:

• Configure o firewall para permitir acesso SSH apenas para o IP das pessoas que realmente precisam acessar (os painéis de adm das hospedagem normalmente tem isso de maneira fácil). Se seu IP for dinâmico, então vai ter que editar essa configuração todas as vezes mas é melhor do que deixa a máquina exposta.

• Crie um usuário no sistema operacional específico para a sua aplicação, nada de usar o root ou um usuário com grandes privilégios na máquina, par esse novo usuário só dê permissões nos diretórios da aplicação.

• O ideal é que seu banco de dados de produção esteja em um serviço próprio para isso, e configure para ser acessado apenas pelo IP da hospedagem do servidor de produção.

• No banco de dados, também não use um usuário root ou com grandes privilégios, nada de poder fazer drop ou criar objetos no banco de dados, e se possível remova desse usuário a possibilidade de delete em tabelas importantes. Isso pode fazer com que você precise rever as estratégias de migrations e usar soft delete, é chato mas deixa o banco de dados menos vulnerável.

• Sempre valide as entradas dos usuários, ou seja, certifique-se que os dados estão ok e se o usuário logado tem permissão para acessar os dados que solicitou.

• Estude sobre observabilidade

• Configure o servidor (nginx, apache...) para não enviar cabeçalhos que indiquem, por exemplo, a versão do PHP, do próprio servidor e etc. Antigamente era bem comum isso no PHP, não sei como está hoje em dia.

• Se fosse um projeto Node com Express, iria recomendar o uso de um middleware chamado helmet, como não sei o equivalente em PHP, verifique todas as tratativas que o helmet faz em projetos Node e veja como aplicar no seu projeto. Tem muita coisa viu.

Bom, esses são apenas alguns pontos bem iniciais, segurança de aplicações é bem mais do que isso.