Mal ein paar Bemerkungen allgemeiner Art zur Absicherung von Webseiten:
(1) Ich persönlich würde mir eine eigene DS für die öffentlichen Webseiten kaufen. Das ist letztendlich billiger als alle anderen Absicherungsstrategien. Und wenn ich eine eigene Web-DS hätte, würde die natürlich in der DMZ liegen, damit sie vor der Firewall ist und nicht innerhalb meines lokalen Netzes liegt (das wäre im Router so zu vereinbaren). Um es noch einmal klar auszudrücken: DMZ bedeutet 'schutzlose' Zone, d. h. ich würde einen Webserver immer (lieber) einem Angriff aussetzen als den Rest des lokalen Netzes. Für den Fall eines erfolgreichen Angriffes habe ich ja eine Sicherung. Es mag im ersten Moment schwierig zu sein, das zu verstehen; aber ich 'opfere' lieber ein System bei dem ich genau weiß, was ich drauf hab und was nicht (wie beim Schachspiel das Bauernopfer), als das ich meine Deckung für den Rest der Systeme herunterfahre.
(2) Da sowieso zwei Apache-Webserver auf der DS laufen (sys und user), würde ich alle administativen Web-Anwendungen nur unter dem sys-Apache laufen lassen (also auch den phpmyadmin). Dann kann man sich die ganze .htaccess-Kennwort-Problematik sparen.
(3) Wenn mit Apache-Benutzernamen/Kennworten gearbeitet wird, dann dürfen die dazugehörigen Dateien auf keinen Fall im öffentlichen Pfad liegen (htdocs bzw. web).
(4) Absichern der Skripte, dass sie nicht unerwünscht ausgeführt werden können. In PHP gibt es z. B. Standard-Verfahren, wie die Nutzung der Dateiendung .inc oder einem Request zu Beginn der Datei, dass diese nur per include/require ausgeführt werden kann.
(5) Per .htaccess und dem mod_rewrite kann man erwüschte/unerwünschte IP-Adressen oder DNS-Namen ein- bzw. ausschließen. Da hab ich schon man einen Post zu gemacht gehabt.
(6) Da mittlerweile auch schon viel mit AJAX programmiert wird, kann man das auch nutzen, um auf Seiten zuzugreifen. Ein AJAX-Zugriff wird fast immer lokal abgesetzt (localhost) und wenn man das im aufgerufenen Skript abfragt, kann man die Skripte/Dateien nicht aus dem Browser heraus aufrufen. Die Technik wird z. B. im cms4ds benutzt.
Wahrscheinlich gibt es noch viel mehr Tipps. Wer was weiß, kann es ja berichten.
itari
PS. Das was ich hier für einen Web-Server gesagt habe, gilt natürlich für allen anderen Internet-Protokolle (ftp usw.) genauso. Auch hier muss man sich fragen, ob man den öffentlichen Zugang nicht auch auf einer separaten DS legt und von dem internen Backup-Funktionen usw. trennt. Ich glaube, dass Synology den Anwendern einen Bärendienst erwiesen hat, so viele verschiedene Dienste auf einen Server zu legen ohne gleichzeitig auf die unschiedlichen Gefährungspotentiale (Internet vs. lokales Netz) hinzuweisen und ohne sie durch eine Firewall (iptables-kernel-Modul) zu schützen.