Es gibt schon paar kleinere Tipps, z. B. ssh Port ändern, das reduziert die Anzahl der Angriffe enorm (weil die meisten Skriptkiddies nur den Port 22 verwenden, die scannen meist nicht nach weiteren offenen ports).
Fail2ban ist auch ganz hilfreich. Wenn doch mal jemand versucht Passwörter auszuprobieren, wird der nach diversen Versuchen geblockt.
Rootlogin in ssh deaktivieren (natürlich vorher einen anderen User anlegen und testen, ob der mit su bzw. sudo sich root Rechte verschaffen kann.
Ansonsten immer Wordpress und die Plugins aktuell halten, das ist bei Wordpress die Hauptgefahr. Das System sollte auch immer aktuell gehalten werden mit
apt-get update
apt-get upgrade
Ansonsten kann ich Thomas nur zustimmen, verwende erst mal nicht so ein Tool wie Froxlor und lerne, wie man das mit der Konsole macht (ist echt nicht schwer und gibt so viele Tutorials). Debian nimmt einem da sehr viel ab, ich würde auch explizit nach Debian Tutorials suchen.
Ob Du Apache oder Ngnix verwendest, ist glaub ich bei den meisten Privaten Seiten ziemlich egal. Ich habe beides ausprobiert und konnte da keine großen Unterschiede feststellen. Mittlerweile setzte ich wieder Apache ein, es gibt einfach noch viel mehr Tutorials zu diversen Themen.
Ach ja bevor Du alles an deinem Server direkt ausprobierst. Installiere dir am besten genau die Linuxdistribution, die auf dem Server läuft in einer Virtuellen Maschiene z. B. Virtualbox (kostenlos), dort kannst Du so viel ausprobieren wie Du willst und kannst nix kaputt machen.