Es una excelente idea, hay millones de sitios planteados así.

Yo certificaría el servidor para usar protocolo seguro (ssl o https como tu dices). Si los sitios remotos tienen IP fija también puedes controlarla. Ten una política de contraseñas adecuada, eso lo controlas tu en el momento de darse de alta y puedes tener una rutina que lo valide. Es decir, contraseñas de 8 caracteres mínimo que mezclen letras y números. Es bueno obligar a cambiarlas de vez en cuando y no permitir repeticiones.

Pero sobre todo controla los datos que te ponen en los campos usuario y contraseña para evitar Cros Site Scrpting, Inyección SQL etc. Asegurate que en esos campos unicamente entran caracteres y números. Rechaza cualquier caracter especial tipo comillas simples, signo = etc etc.

Manten el servidor actualizado de parches sea cual sea el sistema operativo que lo soporte.
Suerte.
Hooker