Пользователь и группа, под которыми работает апач.
Права на папки.
Директивы типа AllowOverride и т.д.
Болтливость сервера: ServerSignature Off и ServerTokens Prod
Отключаем ненужные модули апача
ModSecurity - отбиваем атаки
Suhosin - защита PHP
mod_chroot - пихаем веб-сервер в песочницу
mod_ruid2 или apache2-mpm-itk - каждый сайт работает под своим пользователем, учитывая что mpm-itk работает очень медленно
Закрываем доступ к админкам CMS и важным папкам при помощи .htpasswd и .htaccess , а файлы с паролями - ставим владельцем root:root и права -rw-r–r– (644). Критичные файлы можно вообще закрыть от чтения.