Очень крутой вопрос, прямо хочется бегать по кругу, размахивать руками и кричать.
Ну... как-бы... ВСЕХ дыр стоит остерегаться!
И того, что вам вместо аватарки шеллскрипт зальют, и того, что вместо поискового запроса будет sql инъекция, и того, что в вашу форму с оплатой заказа прилетит "левый" запрос сформированный при помощи XSS. И это не полный список возможных неприятностей, если что. А полный список будет сильно зависеть от того, какие вообще злоумышленник сможет делать запросы и есть ли в обработчиках этих запросов хоть какие-то проверки.
Общие правила примерно такие:
1. Проверяйте и/или фильтруйте все данные, которые приходят со стороны пользователя
1a. Убедитесь, что эти запросы не ddos, не брутфорс и не xss.
2. Наймите хорошего сисадмина, который будет следить за безопасностью и обновлениями OS и компонентов вебсерера.
Конечно, если ваш сайт не представляет интереса для "крутых хакеров™", то можно на все это просто забить и довольствоваться защитой Неуловимого Джо.
