Evaluar costes. ¿Cuanto de valiosa es la informacion? No es lo mismo la informacion que se puede obtener "crackeando" forosdelweb que la extranet de una empresa de hosting. No comprarias una caja fuerte para guardar 10euros, ¿verdad? Sin embargo, el numero de la tarjeta de credito si es muy valioso, en ese caso debes comprar servidor seguro.

Por la parte de PHP (o de la aplicacion web), solo puedes intentar que tu aplicacion sea segura, es decir, que soporte ataques directos (sin informacion del cliente). Incluso en el caso que pueda ser "crackeada", que el acceso a los datos este limitado. Luego tu servidor web debe tener un minimo de seguridad, por ejemplo, que otro usuario no pueda acceder a la informacion contenida en tu cuenta, ni ficheros, ni uploads, ni sessions, ni bases de datos deberian ser visibles desde otra cuenta que no sea la tuya. En algun alojamiento de pago yo puedo ver el nombre de las bases de datos de los demas, puede parecer un dato minusculo, pero ya no tengo que adivinar ese valor. Otros hostings compartidos suelen tener configurado el uso de directorios comunes.

Asi que tu como programador tienes que hacer que tu aplicacion no sea vulnerable. Luego tu alojamiento no debe ser vulnerable. Y finalmente la conexion no debe ser vulnerable (usando SSL). Tu evaluas tus requisitos de seguridad, y miras si requieres un servidor seguro, o te basta con hacer la aplicacion sin vulnaribilidades.

Y recuerda, el nivel de seguridad global es igual al eslabon mas debil. Si usas SSL y haces tu aplicacion sin agujeros de seguridad, todo es una mierda si "crackean" tu servidor 4 veces al dia.

Saludos.