Creo que estas mezclando cosas.
El funcionamiento SSL solo cifra el envió de datos entre servidor y cliente, cualquier persona que controle el trafico de la página puede recoger estos datos, solo tiene que coger la llave pública que genera a cada IP a modo de certificación. Si dependieses de la clave privada ninguno podríamos poder utilizar la página, clave privada solo hay una y la tiene el servidor para certificar la realidad mientras nosotros utilizamos la clave pública para poder compartir los datos con el servidor. Eso se llamaría certificado ( Composición de clave privada y públicas ), en estos casos un programador nunca iría a por el servidor, en la mayoría de casos son servidores compartidos y al no tener acceso al servidor directo, solo se le asigna un espacio, estos espacios tienen demasiado limitados los accesos y entre ellos bastantes cortafuegos, que realmente rechazan cualquier tipo de función rara que vaya hacia el servidor. Como ejemplo, compra un hosting que son bastantes baratos e intenta poner una shell aun que sea solo para practicar y veras que automáticamente lo banea y borra parte de las funciones, esto es un sistema de protección para que no consigas acceder al servidor principal que te suministra.
Esto por ejemplo no tiene cabida en un servidor dedicado, donde básicamente es el administrador el que debe encargarse de todo, aun que en parte muchas empresas siguen ofreciendo sistemas de cortafuegos ya incluidos en el propio sistema aun que sea dedicado.
Ningún "hacker" con dos dedos de frente atacaría un servidor, y más un espacio compartido. En el mejor de los casos si te cazan cerraran el espacio y abrirán otro ( Volverías al principio básicamente ).
En la mayoría de casos cualquiera atacaría a WEB o en sí a los ordenadores particulares, esto es una forma de conseguir acceder indirectamente, por lo que son las mejores opciones. En este caso los CMS públicos son los que más problemas pueden llegar a tener pero en casos como CMS "Premium" como XenForo o vBulletin suelen tener bastante seguridad frente a inyecciones SQL o XSS, y dado que esto en parte es "Casi siempre" igual, los ataques se hacen a ordenadores privados. Esa seguridad es la más sencilla de todas en realmente y te da acceso directo a todo.
Así que por sencillez nadie iría a por un servidor más que nada por que es lo que más seguridad te vas a encontrar, si no a por la WEB directamente o ordenadores privados.