На сервер хостинга возможно бывают атаки следующих типов:
удаленная с целью взломать сервер (получить рута)
локальная с той же целью(ломают сами пользователи хостинга)
удаленная с целью получить информацию клиента.
локальная а той же целью, опять же ломают пользователи.
Защищенности систем от атак первого, второго и четвертого типа существует довольно много специфических сайтов, где можно найти эту информацию, в любом случае тут на форуме не осилить эту тему в полном обьеме, остается третий вариант - удаленное ломание скриптов пользователя с целью получить доступ к его информации.
Это самый трудный для защиты вариант, т.к. пользователи сами вольны ставить те или иные скрипты и все скрипты пользователей никто не в состоянии просмотреть и проверить на безопасность, более того, просмотр скриптов пользователя без его разрещения - поступок неэтичный.
Способов взломать скрипты немногим меньше, чем самих скриптов, а скриптов уж написано великое множество
Есть простая рекомендация, все е и так знают, но повторить никогда не поздно - делайте бэкапы, это помогает в случае взлома пользовательсткого аккаунта быстро восстановить файлы пользователя.
Могу также посоветовать вот что - к различным частям сайта назначайте разные же пароли, пароль к СУБД не должен совпадать с паролем к FTP, т.к. в случае возможности просмотра файлов клиента кракер зачастую не может их изменить, но вот просмотр конфига и выцепление пароля даст ему эту возможность, если пароли совпадают.