SFTP работает на основе SSH, хотя некоторые серверы используют отдельный исполняемый файл для них. Независимо от того, что уязвимости, которые может иметь исполняемый файл, - то, что Вы защищаетесь от (хотя я не услышал ни о ком сам). Сам протокол так же защищен как Ваш сервер SSH.
SFTP имеет два значения.
Старым значением SFTP является старый Безопасный FTP, который только защитил канал управления и оставил канал передачи данных незашифрованным.
Новым SFTP является FTP SSH, который защищает весь трафик с SSH.
Новый SFTP хороший, старый SFTP плохо.
Другой альтернативой является SCP, который обычно быстрее, чем sftp.