Как сделать резервную копию моих файлов безопасно и правильно

Простым подходом является создание резервной копии - отдельный сервер резервного копирования имеет учетные данные для входа на главный сервер, чтобы получить данные, необходимые для резервного копирования, например, используя вход rsnapshot через SSH на главный сервер.

Это останавливает наиболее очевидные атаки, когда злонамеренный хакер удаляет файлы на главном и резервном сервере - я видел людей, которые сообщали об этом на различных форумах по безопасности, так что вы совершенно правы в отношении веб-сервера.

Функция резервного копирования по-прежнему уязвима для злоумышленника, который скомпрометировал главный сервер (например, установил скомпрометированный SSH-сервер, который затем использует дыру в SSH-клиенте на резервном сервере), но это гораздо более решительная и искусная атака, граничащая с целевой атака. Наличие автономной копии ваших резервных копий также поможет решить проблему этого типа атак.

Для получения дополнительной информации, включая использование с другими инструментами для зашифрованных резервных копий, см. Этот ответ.

Простым ответом будут резервные копии в автономном режиме, где данные (или ключ доступа) защищены воздушным зазором (и, возможно, сталью и бетоном).

Существуют специализированные системы резервного копирования (обычно клиент + сервер + пользовательский протокол), которые не поддерживают "стирание этого файла и каждую его историю". Я считаю, что Boxbackup попадает в эту категорию (и является открытым исходным кодом и надежным), как и некоторые продукты поставщиков.

Защита от случайного удаления является основной функцией, но угроза решительного хакера, желающего удалить ваши файлы, звучит... возможно, чрезмерно для домашнего использования. Для меня это относится к той же категории, что и ваши файлы в двух разных городах на случай удара метеорита.