No te lo puedo decir con seguridad, pero imagino que normalmente esas cuentas se consiguen por fuerza bruta, pero es debido a que hay muchísimos usuarios, y eso incrementa las posibilidades de encontrar una cuenta válida.
Si tus usuarios son mínimos, y sigues una política correcta de contraseñas, desde mi punto de vista es bastante dificil por este método.

Pero se pueden sacar por otros métodos, así que cuida que no tengas expuesto el htaccess ni el servidor y vigila los logs. De esta forma reduces bastante el riesgo, pero solo lo reduces, sigues teniéndolo ahí, dependiendo de tu habilidad y de la del atacante.

Ten claro que eres tú el que debe valorar los datos que tienes. Los datos son responsabilidad de tu empresa, y sí son comprometidos y publicados, la multa de la Agencia de Protección de Datos (hasta 600.000 euros) es para la empresa, independientemente de si os han hackeado o lo que sea.

Mira la LOPD, mira en que categoría están tus datos y luego valora los riesgos.

Una vez valorados, tú decides si subes la seguridad o te la juegas.

Si los datos son de un nivel de protección alto, yo iría pensando en cifrarlos o en meter certificados digitales.
Ten en cuenta que los datos tb pueden ser reveleados por usuarios legítimos (dando su cuenta), por los administradores del sistema, troyanos en usuarios, keyloggers, etc.