piyokangoさんのところに書かれている内容でおおよそいいのかな？とも思うけど，なにげに玄人向けなところもあるので，少しだけ観点ごとにひらいてみる．
とはいえ，昔から言われてることばかりなので，書いてて今更感が出てきたのは内緒だｗ

• Webサーバ管理を行う端末の観点
  • OS（Windows）とアプリケーション（Adobe製品，Javaなど）の最新化を行い，Exploit撃たれても感染しづらいようにする
  • ウィルススキャナを最新化しておく
  • できればWebサーバ管理を行う端末は専用のものにする．仮想マシンでもOKかと思うけど，母艦がやられて通信内容パチられる可能性ってのもあるので，できれば独立させておいたほうが吉
• Webサーバ構成の観点
  • OSやOSのパッケージ管理ソフトウェアにより管理されるソフトウェアは最新のものにしておくのは当然として，パッケージ管理ソフトウェアで管理していないものがある場合は，これもアップデートを行う．例えば，Javaアプリケーションサーバの中には，パッケージになっていないものもある（例：Tomcat）．これは，Oracle Javaを使っている場合は同じことが言える．.htaccessを改ざんされるパターンも確認されてるようだけど，これはコンテンツ改ざん可能な状況であれば普通に有り得る．mod_rewriteなどを使っているのであればしょうがないけど，使わないのであれば，無効にしておこう（仮に改ざん成功しても攻撃は失敗するので，不幸は最小限にできる）．
  • アカウント管理はきっちりと．ただ，権限昇格の脆弱性が残存していたりすると，一般ユーザ権限で入られた時点でアウチなので，前述のとおりOS環境の最新化を．
• Webアプリの観点
  • 穴ありのWebアプリはすでに論外．せめてWebアプリケーションのセキュリティ試験はしておこうよ…
  • オープンソースとして配布されているCMSなどを使うのはよいとしても，不要なもの（例：ドキュメント類）などは消しこんでおこうよ…
• コンテンツの観点
  • コンテンツのバックアップ重要．書き戻せるように．
  • コンテンツの保護重要．そもそも書き換えられないように．Webコンテンツを書き換えるだけの権限があっても，システム管理全体を行うのでなければ，アカウントを「コンテンツ更新のために必要最小限の権限を割り振ったものだけを使う」ようにしていれば，無効にしてあるモジュールを有効にするためにはまだ一枚壁がある．めんどくさいから全部rootでとかいうのは勘弁してほしい…．