Wenn du unter "einfach" reines HTML (+CSS) ohne Formular, Javascript und Verarbeitungsmöglichkeit auf dem Server verstehst, wüsste ich grad nicht, wie man das als Einfallstor verwenden kann.

Das wollte ich hören! :-) Bleibt die Frage ob man damit jemals mehr als ein
paar Kröten verdienen kann...

Aber als Mithostling beim Massenhoster kann es trotzdem passieren, dass jemand was in den Code einbaut, das von dir nicht gewünscht ist. Ein unsicherer FTP-Zugang reicht dafür auch schon aus.

Das betrifft aber dann den Webseitenbetreiber, nicht den Webdesigner, siehe
den Beitrag unten von mir mit dem Gespräch mit meinem Rechtsanwalt.