Si entran directamente a la BD, es porque no le tenes clave a root GRAVE ERROR.

No estoy muy de acuerdo a que wintendo sea tan inseguro... cualquier SO es seguro dependiendo de quien lo configure. Además, si queres asegurar la BD MySQL, lo primero es ponerle una clave a root, luego NO trabajar con el usuario root y crear usuarios con derechos a las BD o tablas que necesite.

En apache podrías cambiar la ruta de wwwroot o crear usuarios apache, después de eso, trabajar con sesiones. Eso es lo básico a nivel de web.

En lo referente al servidor, sea cual sea, tener un proxy y un firewall bien configurados. Cerrar puertos que NO se necesiten, crear filtros de lo que puede o no puede pasar.

Linux es bueno y no lo voy a negar al igual que un UNIX o BSD donde las configuraciones se tienen que hacer y dependiendo de como se haga, estos también van a ser seguros. No soy partidario de Micro$oft pero cualquier producto puede ser malo o bueno dependiendo de quien lo configure.

Busca en internet sobre seguridad en servidores web, vas a encontrar muchisima información.