Étape 1 : Liaison localhost uniquement (5 minutes)
L'erreur la plus courante : lier les services à 0.0.0.0 (toutes les interfaces). Corrigez cela en premier.
Étape 2 : Ajouter l'authentification (15 minutes)
Installez et configurez Caddy (le plus simple) ou Nginx avec l'authentification de base pour protéger l'accès à tous les services.
Étape 3 : Configurer le pare-feu (10 minutes)
Utilisez UFW pour bloquer tous les accès entrants par défaut et n'autoriser que les ports SSH et HTTPS.
Étape 4 : HTTPS/TLS (10 minutes)
Caddy gère automatiquement TLS via Let's Encrypt — c'est la solution la plus simple pour le HTTPS en production.
Étape 5 : Gestion des secrets (10 minutes)
Créez un fichier .env avec des permissions restreintes. Ne le committez jamais dans git. Faites pivoter tous les secrets si vous avez eu une exposition.
