Outros neste sistema (e em outros lugares) me convenceram de que não há nada necessariamente errado com a segurança através da obscuridade, mas deve nunca ser sua única linha de defesa.
Execute-o em outra porta, mas não deixe que ele impeça o firewall de forma agressiva, garantindo que apenas senhas strongs sejam usadas e envolvendo a conexão em SSL ou (melhor) uma VPN, se sistemas externos precisarem conectar-se ao seu serviço MySQL através da Internet pública.
Se a sua única defesa for executá-lo em uma porta não-padrão, alguém que estiver executando um scanner de porta irá encontrá-lo mais cedo ou mais tarde (provavelmente mais cedo), e suas defesas serão escondidas.