Très exactement
Ce n'est pas de la sécurité mais ça permet de limiter la détection par des scans réseau (un truc du style nmap -Pn -sS -p 5000 a.b.c.x-y).
De ce que j'en ai vu, les victimes de SynoLocker avaient au moins le port tcp/5000 ouvert. Maintenant comme il s'agissait d'une vulnérabilité du DSM, le changement de port ne comble pas la faille mais ça évite qu'elle soit trop exposée.
À ton niveau tu peux considérer que si aucun port n'est ouvert, les attaques depuis l'extérieur sont quasi-impossible (mais on n'est pas à l'abri d'une faille du routeur, ce qui reste tout de même assez rare).
À partir du moment où tu ouvres un service sur internet (DSM via port tcp/5001, FTP via port tcp/21, ...), il faut avoir confiance dans la robustesse du service en question.