Realmente el tema de la seguridad es MUY amplio, debes tener usuarios con permisos limitados, puertos de acceso cerrados si no son utilizados, no tener instalados muchas herramieteas (phpmyadmin por ejemplo) las contraseñas de las bases de datos encriptadas (las que almacenas), y unas buenas practicas en programacion. por mensionar algunas.
Por ejemplo se supone que nosotros teniamos una seguridad media en uno de los desarrollos de la empresa y resulta que cuando solicitamos una demo de hacker controlado, salio que se metieron hasta la BD, sacando info de unos purtos donde estaba el phpmyadmin, por injeccion lograron sacar la version del mysql (no pudieron ejecutar sentencias, eso si lo teniamos contemplado) y por un metodo de testeo de contraseña de fuerza bruta (osea un robot que probaja contraseñas) lograron entrar =S se tardaron solo 5 dias...