Desde el punto de vista de un hosting, tambien es interesante una directiva que permite especificar una serie de funciones para que no se puedan usar. Ahora no recuerdo cual es, debe tener que ver con safe_mode. Porque desactivar url_fopen, pero permitir fsockopen(), como que casi da lo mismo.

Tambien seria bueno revisar las configuraciones de las sesiones. Por defecto se almacenan en el /tmp del sistema, las de todos los sitios. Ahora mismo no se si es posible, pero creo que un "vecino" de hosting podria "robar" el SID y acceder a los datos de tus sesiones (obviamente, no voy a poner aqui como creo que se podria hacer; de igual forma que prometo que no lo he hecho nunca, aunque ahora que lo pienso, quizas algun dia lo haga para valorar su riesgo real).

De la misma forma, tambien se deberia repasar todas las directivas que impliquen recursos compartidos entre los virtualhost.

Ademas de configurar PHP, tambien hay que tener en cuenta la configuracion de Apache (o el servidor web), el sistema operativo y el motor de base de datos.

En definitiva, que un hosting no lo puede montar el carnicero con un curso de dia y medio en administracion de servidores.

Saludos.