se sei proprietario di un server allora occorre documentarsi bene sulle varie impostazioni di sicurezza, diversamente (come credo sia il tuo caso) molte impostazioni non possono essere modificate dal webmaster, ma solo dall'admin del server (provider).
Quindi, qui si apre una parentesi sulla sicurezza del server che ospita il nostro sito, il quale può essere mooolto sicuro ma non lo è il server!! e non ci possiamo fare nulla se non cambiare host.

Per tutelarsi dalla maggior parte dei danni provenienti da un server poco sicuro è scegliere un buon provider. Ad es un e-commerce su un server che non ci permette di installare licenza https io lo escluderei a monte.

Ci si può tutelare anche impostando bene i permessi di accesso alle varie cartelle.
Molti siti sono risultati bucati in questo modo. Quindi rendere solo accessibile in lettura files e cartelle che non necessitano di altri permessi.

Poi il resto lo fa il codice da noi creato.
Se è un semplice sito in html non c'è alcun problema, se è in linguaggio server-side + database allora occorre tutelarci da sqlinjection, cross scripting ecc.
In teoria basterebbe "accompagnare" i nostri dati (e solo quelli!) nel db