Por que el acceso remoto es un puerto abierto. Y un puerto abierto, es, valga la redundancia, una puerta abierta.
¿Una puerta abierta? Sí, una puerta abierta a ataques, una puerta abierta a análisis, una puerta abierta a escaneos y múltiples posibilidades.

Cuando te recomendaron deshabilitar las conexiones remotas seguramente fue por que, posiblemente, creyeron que no estabas limitando desde provenían esas conexiones. Y, seguramente, si nunca tocastes esa opción la configuración por defecto sólo permitía conexiones remotas desde el mismo servidor y eso no era un riesgo.

No es un regla de tres... simplemente te dieron pautas de seguridad generales para tomar. Cambiar la contraseña también es una pauta de seguridad, utilizar contraseñas largas, con símbolos y caracteres, con ñ, y muchas más pautas de seguridad son comunes.

Lógicamente esas pautas de seguridad no están dirigidas a una circunstancia en especial, sino que se basan en reforzar la seguridad de un sistema.

Independientemente de ello tienes que tener en cuenta que no toda la seguridad está a tu cargo. Hay cosas de las que el usuario es responsable: mantener aplicaciones actualizadas para evitar posibles vulnerabilidades que pueden ser aprovechados por un atacante externo, cerciorarse por ejemplo de los límites que impone a las conexiones entrantes a la base de datos, entre otros factores.

Sin embargo el hecho de que tomes esas medidas no quiere decir que el sistema esté más seguro. Esas pautas evitarán en cierta manera que tus datos puedan ser expuestos a un posible atacante si es que decide atacarte a tí particularmente pero si el posible atacante se filtra a nivel de servidor entonces tiene todo el control y en ese caso no puedes hacer nada dado que no dispones del control de las medidas de seguridad que se deberían tomar y que por supuesto corresponden a tu proveedor de hosting.