Имена файлов и защита сайта

Имеет смысл делать оригинальными страницы входа в админку сайта, страницу логина. И конечно при этом правильно обрабатывать  400 и 500 коды ошибок. Для остальных страниц особо не важно. И опять же - нормальный роутинг не должен показывать, как у вас папки на хостинге называются - вы меняете название в url 

держать актуальными версии своих скриптов. если есть возможность переименовать админку, добавить доп пароль, капчу и т.п. - тоже сделать. но в остальном врятли надо сильно параноить. ну и бекапы иметь )

Просто вбей в гугл запрос "tips to improve YOUR_CMS security". Уже давно все разжевано и с примерами кода и даже с картинками.

Не проще закрыть доступ к логин файлу и админ папке?
и более ничего не городить

Конечно, нет, так как большая часть взломов производится не брутфорсом пароля. Почитай про уязвимости.

А можешь рассказать вкратце? Вот я считал что больше всего ломают фишингом, на втором месте как раз брутфорс. Кроме страниц логина уязвимы FTP, console, database, но это все ломается в основном подбором пароля. Иньекции в БД уже давно из области сказок

в чем смысл темы если в нормальных случаях недохакер получит 403 ошибку, а в других случаях если взлом получился, он получит полный листинг всех файлов и как не извращайся, сайт будет отдан хакеру полностью) в дле лет 10 назад уже начали давать в админке менять название admin.php на другое, и что? ломают только так

можно за ддосить страницу логина, если она переименована - будет отдавать 404

Смена названия файлов / страниц входа даёт в плюс возможное уменьшение нагрузки. Никакого плюса в плане безопасности данное шаманство не даёт. Если Вы допускаете что админка взломается находясь по обычному стандартному адресу значит с безопасностью у Ваc всё отвратительно и надо решать эту проблему а не изменять путь до страницы входа ! Неужели это не очевидно  ?

Конечно нет. Куча китайских ботов бродят и пытаются забрутфорсить стандартные адреса для популярных CMS. уже как минимум это часть отсекается простым переименованием.