Все верно, патчей не будет. Но это не значит что ее моментально прям взломают. Я за последние два года тщательно начал отслеживать какие именно уязвимости закрывают и пришел к выводу что если бы я не обновлял, то ничего бы не случилось с сайтом. Некоторые уязвимости ну очень сложны в воспроизведение, некоторые вообще не затрагивают тот функционал который используем мы. Опять же тут нужно помнить что это патчи для самой Magento, в сторонних модулях дыр может быть масса, как в новой ветке так и в старой. И самое важное, если вас решат взломать крутые ребята, нифига ни какой патч или новая версия Magento не поможет.
Я как бы не противник переезда, несколько проектов еще в том году перевели на новую версию, все отлично и не так страшно. Просто уже начали пугал что все! Конец!! Всем конец!!! Дальше жизни нет!!! Ничего не будет, как работало все так и будет работать, Magento первая сама по себе очень надежная, все критичное также можно защитить серверными технологиями. Краем можно будет назвать конец поддержки версии PHP и то не факт. Знаю человека который держит технический каталог на джумле и не обновляет ничего с 2012 года, там еще PHP 5.4, говорит что как работало все так и работает и ничего никто не взломал
))