Esses dois passos farão com que você fique 90% + do caminho para um sistema de hospedagem seguro (do ponto de vista da prevenção de ataques de escalonamento entre sites):
Etapa 1: não execute tudo como www-data
Use um sistema como php-fpm
para executar cada site em seu próprio usuário. Dessa forma, um compromisso em uma conta não pode ler automaticamente o conteúdo de qualquer outro site, como senhas de banco de dados e outras chaves secretas.
Etapa 2: restringir permissões
Verifique se as permissões em cada site não permitem que os outros usuários do site leiam nada. Um truque fofo para fazer isso é definir o grupo do diretório base de cada site para algum grupo comum do qual todos os usuários do site fazem parte (talvez chamá-lo websites
) e, em seguida, definir os perms nesse diretório como 0701
, para que os usuários do grupo não possam entrar no diretório.