1) конкретно за скан переживать не стоит.
айпишников четвертой версии на планете всего 4 с небольшим миллиарда - это очень мало, где-то года с 2018 масскан это стабильная штука для любого ипа, особенно для новых впсок на хостингах, вот тебе пруф, вот чо творится с моими личными доменами, на которых личные штуки с авторизацией:
в панельке:
причём сканят уже не только ипы, а еще и звучные домены, т.к. на одной впске у меня на разных доменах были разной мощности сканы.
вот прям такой я епта популярный! это боты, половина моих доменов даже близко не индексятся ПС. я их брал просто чтоб самому вместо айпи запоминать домен.
прогугли и пойми что такое masscan, burpsuite, тамперы итд - ответит на все вопросы. или задавай их тут мне в комменты, так уж вышло что много знаю
2) хттпс к лично твоей безопасности как админа сервера не добавляет ничего. переживать за сервер однозначно стоит.
лучшая
минимум практика - на сервере только обновляемый своевременно sshd, а все остальные сервисы в docker-контейнерах, тоже соотв. своевременно обновляемых.
в твоём случае, если только хтмл - за что ты вообще тогда переживаешь? ни базы, ни кода с точки зрения актива финансового, хоть на гитхабе захости и меньше думать будешь, соответственно крепче спать.
3) cdn это для тех, кто понял, что "в моём случае, без CDN - никак". но если твои проекты роста не предполагают - меняй впски на хостинг. и дешевле, и безопасность от самого хостера (ему захочется ли, чтоб его серверы взламывали? а у него в штате специалист по безопасности точно есть, в отличии от твоего соло-штата)
