Вообще, предпочтительно использовать минимум внешних плагинов и модулей: часто бреши кроются именно в них. Инсталлировав движок, не забудьте удалить установочные и отладочные скрипты.
При работе со многими CMS (особенно WordPress и Joomla) нелишним будет убрать страницу входа в административную зону со стандартного места.
• С железной периодичностью делайте резервные копии сайта (бэкапы). Само собой, не только файловой системы, но и баз данных. Советуем не полагаться на то, что сделанные хостером бэкапы будут у него в целости и сохранности (мало ли что случится с его дата-центром). Сохраняйте их не на одном носителе. Оптимально, если используются внешние накопители: в конце концов, ваш домашний и рабочий компьютеры не ограждены на все сто процентов от заражения и взлома.