Linux 服务器上有恶意资源？

创建网站时，我经常会添加自定义字体（通过 FTP 上传并通过 CSS 引用）。我从网络上的各个位置获取这些字体文件。

我想知道：一个网站是否有可能提供恶意字体文件供下载，这些文件一旦上传并呈现给用户，就会危害我的服务器？

在 Linux 系统上，对于任何非明确可执行的文件，这是否可行？所谓“明确可执行”，我指的是 bash 脚本或 PHP 文件之类的文件。

如果存在风险，如何降低风险？

谢谢。