Прежде всего стоит поставить мониторинг с алертами — чтобы не проспать подозрительную активность. Ну и чтобы понимать, в случае такой активности, что именно происходит, какой тип атаки, и от чего, собственно, защищаться-то Для простого личного сайта или начинающего бизнеса с небольшим количеством посетителей goaccess вполне хватит.

Далее, накидывать защиту по мере необходимости:
— fail2ban
— тайм лимитер, если применим
— можно закрыться Cloudflare
— капчу можно поставить, если есть формы

Дальнейшие какие-то шаги уже будут для более продвинутой защиты и с более конкретными целями. Но на первых порах всего что выше хватит за глаза.