¿Está Wget'ing un solo archivo HTML básicamente libre de riesgos?

Básicamente tienes razón con un par de bits de complejidad.

Primero, todavía es posible que tanto wget como su editor de texto tengan una vulnerabilidad que la página podría estar diseñada para probar y explotar. Esto es poco probable, y el autor del malware tendría que predecir que usaría este proceso y plantaría una emboscada. Es poco probable, pero aún significa que su proceso no es 100% seguro. Solo algo para tener en cuenta.

En segundo lugar, es posible que el servidor web identifique que está utilizando wget y le sirva una versión no desagradable del archivo. Esto es bastante fácil de hacer, con ejemplos, inspeccionando el agente de usuario. Una vez más, esto no es algo en lo que piensen los actores maliciosos, pero también significa que no puede usar wget y asumir que el archivo que analiza será el que recibe en su navegador.

Sí, hay formas de modificar el agente de usuario de wget para reducir esta posibilidad, pero aún es algo en lo que pensar.

Entonces, sí, básicamente eres correcto, pero no es una bala de plata para asegurarte, y quedan algunos riesgos.

Puedo pensar en tres advertencias.

1) Asegúrese de que los archivos cargados no terminen en algún lugar donde puedan ejecutarse. (por ejemplo, la carpeta de su servidor web) De lo contrario, los scripts (por ejemplo, php) se pueden cargar y llamar / ejecutar a través del servidor web.

2) Continuando con esta línea de pensamiento, creo que el servidor web PUEDE dictar el nombre del archivo si no lo establece explícitamente el wget. De este modo, se permite a la fuente dar al archivo una extensión como .php

3) Podría recibir un archivo tan grande que podría quedarse sin recursos (espacio en disco, plan de datos), que hace que su servidor no funcione.