Hier gibt es mindestens fünf Angriffsvektoren:

• fehlende TLS-Verbindung zwischen Client und Host

Allgemein schlechte Sache, das ist nicht spezifisch phpMyAdmin.

• Fehler in der phpMyAdmin-Software
• Fehler bei der Einrichting des PHP-Moduls (oder ...)
• Fehler bei der Einrichtung der phpMyAdmin-Software

Sicheres HTAUTH seitens des Webservers davorschalten ist Pflicht, ja.

Fehler bei der User-Einrichtung des DBMS (denn phpMyAdmin nutzt die Userrechte des DBMS)

Du meinst die Rechte des Users, den ich phpMyAdmin mitteile? Klar, das ist Eigenverantwortung und der User sollte nur genau so viel können, wie nötig. Doof, dass das Ding mittlerweile eigene DBs erstellen möchte, das macht ein „sauberes“ Setup vermutlich komplizierter.

Was ich auf jeden Fall dringend renovieren muss, sind die TLS-Kriterien für den Zugriff per Heidi auf Port 3306.

Lass den Port einfach zu und Tunnel Dich durch. Heidi kann das out of the box.