Если вы выставите свою базу данных всему миру со слабым паролем для суперпользователя базы данных, это определенно существенно снизит вашу безопасность. Хакеры регулярно патрулируют такие слабые настройки и используют их, в основном для майнинга криптовалюты, а также для добавления вас в бот-сети. В этих случаях они не заботятся о самой вашей базе данных, это всего лишь способ получить доступ к вашему ЦП / сети. Они также могут проверять наличие ценной информации в вашей базе данных, и в этом случае им даже не нужно быть суперпользователем.
Если вы всегда запускаете последнюю версию исправления и используете надежный пароль (например, вывод pwgen 20 -sy -1) и использовать SSL или, если вы правильно используете какой-либо другой метод аутентификации и шифрования, это снизит безопасность только на минимальную величину.
Если вы лично контролируете каждый пароль и убедитесь, что он надежный, и проверьте, что они настроены правильно, чтобы быть обязательными для входа в систему (например, преднамеренно ввести его неправильно, чтобы убедиться, что вас отклонили), я бы не стал слишком беспокоиться о переадресации портов, предоставляющей плохие парни доступ к машине. Если вы заботитесь о том, чтобы люди могли подслушивать данные, отправляемые туда и обратно, вам также нужен SSL.
Конечно, зашифрованные туннели - это еще одно решение, к которому я не обращаюсь.