Владимир Серёгин

3) Изучить html + css + немного js:
Дженнифер Нидерст Роббинс "HTML5, CSS3 и JavaScript. Исчерпывающее руководство".
Рейчел Эндрю - "CSS 100 и 1 совет"

Я бы посоветовал вместо этих взять Tangled web Михала Залевски + Web Application hacker handbook, потому что взгляд программиста и безопасника всё-таки отличается.

8) Перейти на любом из пунктов на GNU/Linux Debian, изучить его.
9) После перейти на Kali Linux, использовать его тулзы.

Вот эти два можно совместить в один и сразу поставить Kali / ParrotLinux, они всё равно debian-based, зачем два раза вставать.

2) Изучить алгоритмы:
Адитья Бхаргава - "Грокаем алгоритмы".

А алгоритмы вообще отложить на потом.

Всё это справедливо, если вы не хотите становиться программистом.

Почитайте CIS Apache HTTP Server Benchmark (качать отсюда, нужно только анкету заполнить). Там есть основные рекомендации по настройке прав доступа, минимизации функционала, настройке tls, логирования и тд. Есть две версии документа для apache 2.4 и 2.2.
Для защиты от части атак - modsecurity + core rule set. Он не так суров, как naxsi, работает по принципу черного списка, а не белого. После допиливания правил для исключения false positives можно жить.