เว็บลูกค้าไม่ปลอดภัย ทาง Hosting ทำยังไงได้บ้าง

สอบถามนะครับ มีลูกค้าเช่า Hosting แบบ Share ทั่วไป
แต่เว็บลูกค้าเองเขียนด้วย PHP MySQL แบบไม่ใช้ framework ซึ่งมีช่องโหว่ มาก พวก SQL Injection , Cross Site Script เบื่องต้นไม่ได้กันไว้เลย และเว็บโดยฝัง script redirect ไปเว็บอื่น

เท่าที่ผมลองตรวจสอบ คือ ถูกฝังอยู่ในตารางที่เป็นพวก banner ในหน้าแรก และ echo ออกมา และตัวเว็บก็ไม่ได้มีการใช้ htmlspecialchars กรอกก่อนการ echo

ผมแก้โดยการ replace ใน db พวกที่ เป็น redirect และ reset password ทุกอย่างให้ไปก่อน แก้ไขให้ไป 2-3 รอบ เพื่อแก้ปัญหาเฉพาะหน้าไป แต่ตอนนี้ก็ยังโดนอีก (หลังจากแก้ไป 2-3 วัน)

เป็นแค่เว็บนี้เว็บเดียว เว็บอื่นเท่าที่ตรวจสอบไม่พบ

ทางเจ้าที่ทำเว็บ (ลูกค้าจ้างมาอีกที) ก็ยังไม่แก้ไข SQL Injection , Cross Site Script ซักทีเหมือนเขาไม่เข้าใจ SQL Injection , Cross Site Script แจ้งแต่ว่าเป็นที่ Hosting ไม่ปลอดภัย

แบบนี้เราควรทำยังไงดีครับ หรือ มี tool อะไรมาช่วยในระดับที่ไม่ต้องไปแก้ code ได้ไหมครับ
เห็นมีพวก Harware (Web Application Firewall WAF) ก็แพงมากมาย

Cloudflare มี WAF ให้ใช้ครับ

windows หรือ linux เบื้องต้นปิดพอร์ตที่ไม่ได้ใช้ หรือหากจำเป็นต้องเปิดบางพอร์ตก็กำหนดไอพี /มีทูลฟรีและเสียตังค์ (เคยใช้ทูลแต่บน linux เน้อ)

ประสบการณ์เดียวกันเลยครับ เมื่อสิ้นเดือนที่แล้ว ของผมโดนทั้งเครื่อง ลูกค้าอื่นๆ เดือดร้อนไปหมด

ของผมนะครับ
1.แจ้งลูกค้าครับ และชึ้แจ้งจุดที่ลูกค้ามีปัญหาและต้องแก้ครับ พร้อมข้อมูลเอกสาร log ที่โดนยิงของลูกค้าครับ
2.ขออนุญาตปิด ของลูกค้าชั่วคราวครับจนกว่าจะแก้ไขเสร็จ
3.ลูกค้าที่แก้ไขก็จบด้วยดีครับ ยิ้มกันไป ลูกค้าที่ไม่ยอมก็มีครับ ได้แต่ทำใจแล้วคืนส่วนต่างลูกค้าครับ ตัดปัญหาส่วนน้อยดีกว่าพังทั้งเครื่องนะครับ

แจ้งลูกค้า
ถ้าไม่ยอมแก้ไข ก็เชิญออก