Natürlich sollte klar sein, dass Updates alleine noch keine ausreichende Sicherung darstellen.
Jedem, der sich schon mal damit befasst hat, sollte das klar sein.
Webhosting-Kunden, ist das (meiner Erfahrung nach), regelmäßig nicht klar.
Unter Einhaltung gewisser Standards ist es aber dennoch kein Hexenwerk sich vernünftig zu schützen.
Das ist richtig. Aber es ist viel Arbeit, wenn man neu in das Thema einsteigt.
Informationen dazu finden sich aber mittlerweile an "jeder Ecke" (Fail2Ban, SSH Port & RootPermit, Hardening von Diensten wie NGINX und MySQL, usw.).
Die häufig veraltet sind, von Menschen stammen, die wenig Expertise haben, ...
Die Konsequenzen von "Administration by HowTo" sehe ich täglich in diversen Foren.
- - -
Der eigene Server kostet viel mehr Zeit und damit auch Geld*, als ein professionelles Webhosting.
- - -
*) Es sei denn man hat die Zeit "übrig"