Вопрос по поводу mysql+PHPMyAdmin и в целом безопасности

Можно ставить на один сервер, так обычно и делают, если нагрузка не огромная и не требуется распределение по разным серверам. Никакие облачные БД большинству обычных проектов не нужны, это пустая трата денег.

phpMyAdmin можете поставить и настроить доступ только с вашего IP, например, если боитесь. Либо можете не ставить вообще, если не планируете работать с БД через браузер.

По поводу firewall - зависит от целей. Если нужно фильтровать доступ - ставите и настраиваете. Если не нужно - не ставите и не настраиваете. Нормы здесь нет.

К серверу баз данных или к PMA? Можно и то, и другое поместить в защищенный канал (SSH-туннель). Либо для подключения к серверу баз данных добавить IP сервера в переменную bind_address, создать соответствующего пользователя и т.п., а также настроить шифрование.

PMA лучше запускать на том же сервере (или по крайней мере в той же локальной сети), где находится сервер баз данных. Не нужно внедрять location (phpmyadmin, pma, etc.) в каждый виртуальный хост. Поставьте PMA в отдельный виртуальный хост локального сетевого интерфейса, т.е. на localhost. Если нет другой админки, можно прямо на localhost:80. Доступ выполнять, повторюсь, через SSH-туннель.

Убирать или нет root, зависит от потребностей. Можно сделать и другого суперпользователя баз данных вместо root.

Нет другой подходящей админки и страшно/неудобно использовать командную строку.

"Аналитики" любят лезть в базу данных, не "обвязывая" все это своим кодом 😉

Почему страшно? Я вот в последнее время вообще отказался от БД админок, в моем случае от PgAdmin(Postgres) В основном через командную строку. Во-первых, это экономит ресурсы. Во-вторых, держит мозг в тонусе, заставляет не забывать основные команды в SQL. Ну и это дает лучшее понимание, как это все работет. Ну и в том же VScode, не говоря про Pycharm - отличный плагин для работы с любыми базами.

достаточно доступ к phpmyadmin разрешить  через настройки apache/nginx доступ к скриптам СУБД с вашего статического IP

ну а если IP динамический то можно и .htaccess с .htpasswd задействовать на доступ к папке с phpmyadmin. А до кучи ее еще можно переименовать типа mysqladminka, что бы боты в нее не ломились.

А еще можно создать для phpmyadmin и подобного управлени сайтом, отдельный поддомен типа admin.tvoy_site.ru который не будет светиться в поиковиках и соответственно боты о нем не будут знать

не боты будут  ломиться, а хакеры.

нужно закрыть доступ ко всем внешним системным скриптам, которые только для администрирования со всех IP, кроме вашего статического IP администратора

и в host.allow добавить разрешенный только один ваш статический IP

что даже при потере root или иного пароля пользователя юникс системы, будет  бессмысленно. никто с вашим взломанным паролем кроме вас не войдет на сервер по ssh/ftp

у меня постоянно в ошибках светится попытка обратиться к файлу .well-known которого на сайте просто нет

Ну аесли IP динамичекий? например не с работы а из дома?

У меня как сделано - отдельный поддомен типа my_scripts.my_site.ru в котором лежит phpmyadmin и прочие скрипты для работы с сайтом. Все они лежат в отдельной от сайта папке, да еще и папки с ними назвал нестандартными названиями - например не phpmyadmin, а mysqladminka. Так как они в отдельной папке, отдельном поддомене и с другими именами, то попытка обратиться к ним по  my_site.ru/phpmyadmin (как это часто можно увидеть в логах) выдаст 404 ошибку.

Все это защита от детей))) Чисто для самоуспокоения.