Поддерживаю решение SSH + SFTP как самый простой (на мой взгляд) и быстро реализуемый. Для доп. защиты рекомендую:
1. Порт сервера ssh сменить с дефолтного 22 на другой (как вариант — на роутере форвардить не 22->22, а что-то_другое->22)
2. Использовать технологию port knocking, чтоб никто лишний не долбился. Более подробно об этом можно почитать тут:
Port knocking или как обезопасить себя от брута по ssh
Защищаем систему. Или как настроить и использовать port knocking
P.S. Несколько оффтопик, ибо не по теме вопроса. Но, вдруг будет интересно, ибо всё же чутка задачки перекликаются:
SSH-туннель домой без необходимости оставлять включённым домашний ПК 
