A ver, el asunto lo entiendo asi:

1. El servidor Web (la maquina) debe tener su propia seguridad: estar al dia con los parches, abrir sólo los puertos necesarios, etc.

2. La configuración del servidor Web (el software ahora, ejemplo Apache) debe estar bien hecha y tambien actualizado con sus debidos parches.

3. La base de datos, si está en la misma maquina que el sitio, podrías dejarla sólo accesible desde la propia maquina, a no ser que necesites conectarte a ella remotamente.

4. Al programar en Php debes observar todas las "buenas practicas" de programación, register_globals=Off, prevenir los ataque de inyeccion de sql, etc.