Yo siempre he pensado que un software OpenSource es mas dificil encontrarle exploits porque generalmente son liberados parches de seguridad muy pronto. No digo que no tenga fallos, pero son detectados y parchados mas rapidamente.

No conozco a fondo PHP, pero los foros piden contraseñas de MySQL y FTP, aunque creo que no las guardan. Es el unico agujero de seguridad que se me ocurre y no ha de ser fácil de pasar.

Pero si te hackearon un foro, solo pudieron afectar al foro en si, nada fuera de el.