Lo que preguntas es demasiado extenso... Todo depende del grado de seguridad que necesites y lo publico que pretendes que sea tu servidor web (que lo acceda todo el mundo o no).

En cualquier caso, yo usaría Linux o FreeBSD como S.O. Apache como servidor web. Cerraría todos los servicios que no necesite en esa máquina. Comprobaría que los permisos de los ficheros en el árbol web están correctos (que NADIE pueda escribir en el arbol web salvo el usuario web admin, pero que se pueda leer).

La configuración por defecto de apache es bastante adecuada, y en su página web tienes más consejos para securizar aún un poco más el servidor.

No permitiría accesos desde el exterior a la BBDD (cierra el puerto y da los permisos adecuados en la BBDD al usuario adecuado y desde el host adecuado... Es decir, localhost. Y no conectes desde las paginas como usuario administrador de la BBDD)

Tu punto débil estará, probablemente, en la programación de tus páginas web. Deberás depurar muy bien cualquier dato de entrada de formularios para evitar aatques de inyección de multiples tipos... Hacer una buena gestión de errores, asegurarte de que ningun dato de entrada puede ejecutar un comando o recorrer directorios fuera de los permitidos, Que no se puede meter un dato en un formulario que vayas a enviar sin procesar a una consulta para evitar la inyección SQL, etc...

Manuales y consejos sobre seguridad en la programación web hay 500.000 y con diferentes grados de profuncidad... Seguro que encuentras alguno bueno sin necesidad de que escribamos otro aquí :)


--- EDIT ---
Lo olvidaba... Por supuesto, una de las cosas más importantes que debes hacer (y no sólo en un servidor expuesto a Internet, sino en cualquier equipo... aunque si está expuesto con más razón) es ESTAR AL DIA CON LOS PARCHES. Ya sé que es obvio, pero hay que recalcarlo. Aplica todos los parches/actualizaciones del S.O. y del software de los servicios que exportes y uses (p.ej. apache, MySQL, etc)... Eso es FUNDAMENTAL.
--- FIN EDIT ---