Korta svar
1. Ja det är möjligt utan extra kostnad
2. Förvänta dig attacker mot servern riktade eller inte.
3. Nej det bör inte kosta mer för er. El för en Rasperry pi är ca 50kr per år.
Längre svar
Säkerhetsrisken ni har är att ni har en bugg, medveten eller ej i era hemsidor som gör att en hackare kan göra mer än vad som är tänkt. T ex komma åt användaren, tjänsten körs som och sedan komma åt data på rasperry:n eller något som finns i det lokala nätverket. Det är inte troligt att ni utsätts för någon riktad attack, men jag har inte en webbserver som inte det inte görs någon typ av attack på dagligen.
Exempel på att minimera risken:
1. Se till att hålla nginx uppdaterad.
2. Kör varje hemsida som separat användare (inte root).
3. Stäng av inloggning via SSH med lösenord om detta ska ske över internet, använd certifikat.
4. Hosta nodejs i containers för att minimera attackytan om attacken hittar en bug.
5. Använd SELinux eller AppArmor för att begränsa rättigheterna
Jag säger inte att ni behöver göra alla dessa steg, dessa är bara rekommendationer sorterade efter svårighetsgrad. Satsar ni på punkt 2. kan ni känna er tillräckligt nöjda.
Den kanske viktigaste jag skulle göra om rasperry:n ska stå hemma hos någon, är att segmentera nätverket. Dvs Rasppery:n ska inte komma åt din hemmadator/apple TV eller vad du nu har hemma. Det sker lite olika beroende på vilken typ av router/Gateway som används. En del använder DMZ, personligen har jag satt upp ett separat nätverk med brandväggsregler som endast tillåter trafik in till webbservern, men tillåter inte webbservern att kommunicera med något. Gör ni detta så sitter resten av hemmanätverket säkert även om Rasperry:n skulle bli hackad.
Angående VPN, ser jag inte nytta av det i detta fallet, hemsidan är publik i vilket fall. Det skulle vara för att dölja var sidan är hostad, jag ser inte riktigt poängen för det.
Angående ISP:er Så länge ni inte hostar en kommersiell applikation så kan ni hosta hemsidor hemma utan att ISP bryr sig. Problemet ni kan få är om ni blir hackade och er server används för attackera någon annan, men den risken lever ni med redan idag då era hemdatorer löper samma risk.
Min rekommendation?
Prova på, det är en bra lärdom för att förstå hur allt hänger ihop och kostnaden är liten.