Eu diria sim para endurecer o NginX o máximo possível e sim para usar o ModSecurity no servidor Apache se o seu site estiver hospedando qualquer tipo de conteúdo web ou dinâmico que possa ser contribuído pelos usuários finais, como comentários. Praticamente, se o seu site tiver formulários, o ModSecurity é uma boa ideia.
O ModSecurity não protege o Apache por digitação. Ele protege os aplicativos da web e os formulários que estão sendo usados na exploração. Por isso, o objetivo é ajudar a proteger o site de XSS , Injeção de SQL e ataques de CSRF / XSRF .