Добавьте firewall - ufw, откройте только два порта.
apt-get install -y ufw
ufw default deny
ufw logging on
ufw allow 22
ufw allow 80
ufw allow 443
ufw limit ssh/tcp
yes | ufw enable
Отключите в конфигурации nginx посылать ответ свою версию. Меньше знают, крепче спите.
Уберите root пользователя из ssh, и сделайте вход на сервер по ssh ключу.
Доступ к базе данных сделайте только по localhost.
Используйте правильные права доступа к пакам и файлам.
В принципе, для начала достаточно.