Yo diría que nginx es relativamente seguro. Parecen tener una respuesta relativamente rápida cuando se encuentra un error de seguridad, y ese es realmente el punto de referencia en el que centrarse (Apache también es históricamente muy bueno). Todos los productos complejos tienen agujeros de seguridad. Es solo la naturaleza de la bestia.
Apache está en desventaja porque se usa tanto que una vulnerabilidad podría explotarse bien. nginx es un poco más oscuro con una pequeña cuota de mercado.
Apache tiene algunos excelentes módulos de seguridad como mod_security que realmente no existen para nginx, sin embargo, nginx tiene un conjunto de reglas diversas que pueden usarse para imitar gran parte de él [1].
- ¿Puede un hacker ingresar a un sistema sin conocer la contraseña de administrador?
- ¿Se puede hackear el "arma inteligente" alemana?
- ¿Deberíamos centrarnos más en la seguridad cibernética de las tecnologías médicas vulnerables, es decir, un marcapasos?
- ¿Los datos de nuestro teléfono son completamente privados?
- ¿Cómo puedo pagarle a un hacker hasta que me piratee y me ayude a obtener el dinero?
Al final del día, es mucho más probable que vea y sea víctima de una vulnerabilidad en su aplicación web que en su servidor http, especialmente si utiliza uno de los productos más probados como Apache, nginx, IIS, lighttpd. Por lo tanto, no me obsesionaría demasiado con la seguridad del servidor web.
Si valora la seguridad en ese nivel, invierta en un buen dispositivo de firewall de aplicaciones, una auditoría de seguridad profesional y, lo más importante, un buen administrador de sistemas.
Obviamente: todo esto es discutible si no mantiene su software actualizado.
1. https://calomel.org/nginx.html