Не забываем закрыть доступ к критическим сервисам снаружи.
MySQL обычно по умолчанию наружу не светит.
Memcached как раз по умолчанию открыта, и напрасно, там может быть вполне полезная для злоумышленника информация. По мне, так чем порт закрывать, лучше общаться через unix-socket. Тем более, что 'memcached -h' сообщает нам, что параметр '-s /путь_к_сокету' «disables network support».
Так же стоит поступить и с php-fpm. Не вижу ни одной причины, чтобы fastcgi_pass слушал сеть, а не файл.
Наконец, MongoDB. Тут, к сожалению, до версии 2.6 с умолчанием плохо. В самом простом варианте надо использовать 'net.bindIp: 127.0.0.1'.
В общем, помним, что сканеры не дремлют и рыщут, а за ними идут армии ботов…