För admin-mappen så lösenordskyddar du helt enkelt hela den katalogen och allt därunder. Sedan har du givetvis login på adminsidan, totalt alltså måste man logga in 2 gånger. Lite besvärligare men mycket säkrare. Sedan (tycker jag) att admin mappen kan heta något annat än just admin, administrator, något unik för ditt system så att inte hackers kan gissa sig till var admindelen ligger...
Inte heller tycker jag man ska nämna admindelen i robots.txt. Där är ju första stället en eventuell hacker letar... Har du lösen på hela katalogen kommer ändå inga crawlers in.
Du har inget att vinna på genom att låta stilmallar och bilder från admin bli indexerade.
Pagespeed är viktigt, testa var flaskhalsarna ligger med
www.webpagetest.org
Se till att du har gzip komprimering, cachning mm på.
Att en sida validerar 100% är inte nödvändigt, men visst det känns bra
Lycka till!