Se você permitir que as pessoas executem código arbitrário em um ambiente irrestrito, há muito pouco que você possa fazer para torná-lo "seguro" - quando trabalhei para um ISP que forneceu hospedagem compartilhada com PHP, minimizamos isso vendendo apenas para empresas / indivíduos que nós tínhamos testado até certo ponto para garantir que eles não fossem J. Random. A Haxor procura uma plataforma para lançar ataques e, honestamente, essa é a melhor solução para esse problema.
Além disso, você pode restringir o acesso à rede de saída (com configurações do PHP ou através de um firewall - sendo a última preferível).
Isso pode frustrar usuários legítimos, mas também impede que usuários mal-intencionados ataquem seu servidor.
Observe que isso só ataca os ataques de saída - Como você observou, há outras coisas que você precisa considerar para proteger adequadamente o seu próprio servidor. Essa seria uma questão interessante de acompanhamento.