En person hittar en bugg/exploit i apache denne vill utnyttja, så den drar igång portscan på port80 på samtliga IP adresser för att se vilka som har port80 öppen, för att därefter kolla om de kör apache och i så fall vilken version.
Du kör apache, på precis den utsatta versionen, meeeeeeeeeeeen du har varit smart och pekat om till port 53985 externt istället, så hackern hittar inte att du har den specifika versionen. Mao, du är lite säkrare.
Likväl, "omendå portscannar han alla portar på alla IP adresser", well då ser du i din brandvägg ett IP nummer som scannar flera hundra/tusentals portar hos dig, och har varit lite smart att du bannar det IP numret från att scanna. Hade du kört på port80 så hade det räckt att han scannat just specifikt den porten, och iomed du kör en tjänst på den porten så är det ju så klart inget du vill stoppa ingående trafik på.
Men du får gärna berätta hur det här inte höjer din chans att undvika att bli hackad och att det i de två scenariorna ovan hade varit lika stor chans att bli hackad om man kör på en randomport snarare än port80.