Definitivamente, WPA2 - substitui o WPA e é considerado "seguro". Use AES (TKIP tem falhas) com uma chave pré-compartilhada; faça isso > 13 caracteres e tão aleatório / seguro quanto possível. Isso deve garantir que ninguém pode entrar em seu roteador doméstico. Não que alguém jamais queira, no entanto, existem muitos APs não seguros que eles usam primeiro.
A filtragem de endereços MAC é basicamente inútil, já que o MAC é enviado sem criptografia, então qualquer um que esteja assistindo a pacotes pode esperar que um MAC apareça autenticado, e então falsificar isso (trivial). Isso apenas aumenta a sobrecarga do seu gerenciamento ("Eu tenho um novo laptop, por que não consigo acessar meu wireless? Tenho que adicionar o MAC, D'oh!")
A desativação da difusão de SSID também não é realmente útil, já que também é facilmente derivável ao farejar o tráfego sem fio. Novamente, isso só causa um pouco de dor de cabeça quando você quer se reconectar à sua rede ("Qual foi o meu SSID novamente? Ah certo, 'SDFSADF'")
Se você também pode configurar uma VPN baseada em casa em seu sistema, isso adiciona um nível adicional de segurança. Configurei meu roteador sem fio doméstico para colocar usuários sem fio na DMZ (também conhecido como internet) para que eles não possam acessar minha rede doméstica a menos que façam login via VPN (outro nome de usuário / senha com tempos limite de login / redefine o cracker teria que ser derrotado). Para o futuro próximo e contra um cracker não-governamental, isso é seguro. : D