No basta con saber la ip para poder ingresar. Si el ordenador que haga el servidor, no tiene abierto los puertos apache y de la base de datos de forma, y el cortafuegos bien configurado. O el mismo apache lo puede configurar para que no deje acceder a nadie ajeno a la dirección 127.0.0.1 que es localhost. Y lo mismo el mysql.

Aun sabiendo la IP públicca el atacante, necesitaria saber la ip local. El router a menos que hayas hecho una redirección de puertos, o hayas creado un servidor DNS, no va a dirigir a la ip local.

Pero si el atacante está en la misma red local, si que le bastaria con saber la ip. Y ahí si te daria la razón.

Es más facil para el atacante acceder a traves de un troyano que intentar entrar por fuerza bruta buscando puertos.

Y para lo que comenta el forero, no necesita que el servidor tenga ni internet. Vamos si solo lo va a usar para eso, puede mantener el servidor desconectado de internet. ya que accedera a la plataforma web desde la misma maquina que hace de servidor.