как вариант - отключить ftp, запускать скрипты от иного пользователя, чем тот, которым логинишься по ssh (по ключу с паролем на ключ, разумеется, и двухфакторной авторизацией).
условно, ты по ssh заходишь пользователем updater, а скрипты и вся конфигурация хранятся как worker:worker с правами 700 и запускаются от пользователя worker.
Можешь заюзать dotenv и загружать конфиг из файла. А права на этот конфиг поставь так, чтобы только пользователь запускающий скрипт имел право на чтение. Так сразу отпадает проблема с ключами которые попадают в git и другие репо. https://pypi.org/project/python-dotenv/
AlessandrIT, обезопасить хостинг. Про права доступа уже упомянули. Доступ к конфигу закрыт простым смертным. А если кто-то несанкционированно может зайти на сервер и прочитать ваш конфиг - то проблемы у вас не только с mysql
Средний
