Влияет ли серверное ПО на безопасность сайта?

да, это имеет значения, но и обновление тоже надо делать грамотно.

А какие компоненты следует в первую очередь обновлять и какие там подводные камни могут быть?

Всё зависит от того что за сервер, и что следует обновлять.

ну самый обычный Apache+PHP+Zend

Zend: вы должны учесть что старый зенд на php 5.3 не работает

apache: вы должны учесть специфику установки ( кто или что ставил его )

php: то-же специфика важна, иначе всё ляжет к ч.со.чим.

Все. В стабильном релизе нормального дистрибутива (например, Debian) - не должно быть проблем с обновлениями безопасности. Их надо молча ставить - глупо не исправлять проблемы, которые известны всем.

Проблемы могут быть при обновлениях между стабильными релизами дистрибутива. Там - разные версии ПО, ломается совместимость. Но если разработчиками дистрибутива закончен выпуск обновлений для старой его версии - стоит обновиться до нового стабильного релиза.