Sin duda, sí, cada cual es el máximo responsable de lo suyo, un hosting compartido no es excusa para tener un acceso FTP o un acceso al panel de admin de WP con contraseña 12345.
Salvo que el sysadmin ese sea Dabo que como te vea la contraseña esa no podrás entrar
De todos modos en los casos de empresas que vender alojamiento deben securizar muy bien cada espacio en el hosting porque si a mi me la lian parda por la contraseña de luser del vecino de al lado puede arder troya; incluso no estaría de más que se molestasen en educar a los usuarios, a mi por ejemplo no me molestaría recibir un correo de mi hosting con cuatro cosas básicas sobre contraseñas seguras.