Hallo,

Sehe ich das richtig, dass in einem solchen Fall keine grossen Sicherheitsvorkehrungen nötig sind?

Nein, nur weil du die Bedrohung nicht siehst, heißt es nicht, dass sie nicht existiert.

Ein Hacker könnte höchstens die Bestellungen einsehen, aber keine Kreditkarten-Infos.

Willst du das? Wollen deine Kunden das?

Was könnte eine pöhse Gestalt sonst noch mit der Shop-Software anstellen?

Alles, was nicht der ursprünglichen Intention entspricht, sollte nicht möglich sein.
Beliebte Tätigkeiten mit kompromittierten Servern sind Spamversand oder Angriffe auf andere Server. Kundendaten kann man verkaufen und zu guter Letzt, kann die der ausländische Hacker erpressen, weil auf einmal dein gesamtes System verschlüsselt ist und nur er das Passwort besitzt.

Grüße