Tuve 2 foros por varios años e irónicamente ambos enfocados al malware, crypters, binders, algo básico de metasploit, (in)seguridad.
Todo con la plataforma default y nada extra de seguridad más que mantener todo actualizado, JAMAS tuve un problema.
Incluso fui VIP en indetectables, que son prácticamente los #1 de habla hispana en foros de seguridad con admins trabajando hasta para la guardia civil y Movistar de España, fue precisamente uno de ellos que me dijo que para crear un foro generalmente era suficiente con mantener la plataforma actualizada, estar atento a los releases y que los fixes en phpbb eran gratis al ser open-source, con eso iba a estar relativamente seguro. Ocasionalmente algún hacker compromete la web oficial de ellos y mete malware en las descargas pero no es algo común y es algo que puede pasar hasta en la web más segura.

Pero bueno, si vos decís que hace falta obsesionarse con medidas extras de seguridad y no es un TOC innecesario te creo.

Suerte con la migración xd