Exacto, en un shared host corres ese "riesgo" por eso es mejor tener la sesión en una base de datos, así "mitigas" un poco ese riesgo.

La idea es que en esa misma tabla de sesiones, también guardes a lo mejor el user_id y el último tiempo de conexión, junto con la IP a lo mejor, de esa forma puedes ver sí esta "activo" o no "activo", de esa forma puedes desconectar al usuario y pedirle que vuelva a iniciar sesión...