Почитайте CIS Apache HTTP Server Benchmark (
качать отсюда, нужно только анкету заполнить). Там есть основные рекомендации по настройке прав доступа, минимизации функционала, настройке tls, логирования и тд. Есть две версии документа для apache 2.4 и 2.2.
Для защиты от части атак - modsecurity + core rule set. Он не так суров, как naxsi, работает по принципу черного списка, а не белого. После допиливания правил для исключения false positives можно жить.