vpsレンタルサーバで自分がやっている対策は
・sshポートの変更
・鍵認証のみへの変更(必須)
・https化(必須)
・nextcloudのアクセスポート変更
・admin/Administrator等のユーザは使わない(必須)
・.htaccessで日本からのみ接続許可
・fail2banでlogin failedとtrusted domain access errorを自動パケ破棄ブロック
・ブロックログの自動#slack送信

上記をやっておけば、OSのアップデート以外触る必要ないです。
あとは、nextcloudセキュリティチェックをバージョンアップ毎にやりA+を確認しています。
ここまでやれば確実かな~と。