La seguridad no recae NUNCA solo en el lenguaje, si bien sí hay que cuidar aspectos como bugs o vulnerabilidades que pueden ser explotados, pero no todo es la responsabilidad del lenguaje. Tu servidor posee antivirus, tiene firewalls conectados, si usas Apache, las configuraciones son las adecuadas, te aseguraste de instalar parches escenciales para corregir o repara bugs. Tienes cuidado de dar mantenimiento a las contraseñas de acceso, cambiarlas cada X tiempo, usar contraseñas seguras, restringir acceso, usar protocolos seguros como SSH. Hay muchas cosas de seguridad que no son responsabilidad del lenguaje.

Si lo que te preocupa es protejer un panel de administración, tampoco es cosa del lenguaje, es responsabilidad tuya como programador hacer las cosas bien. Y nuevamente si lo que quieres es tener una aplicación web usando Java, es decir vas a tener tus páginas hechas en JSP, (que no se compila igual que PHP) y vas a usar un framework como Spring MVC o Struts, ahí si puedes compararlo con PHP. Además, hay una gran cantidad de proveedores de web hosting, que soportan Apache Tomcat para eso.

Y desde el sitio web de Joomla: "Joomla is an award-winning content management system (CMS)...", es un manejador de contenido, no un framework de desarrollo, el lenguaje, como tú lo dijiste, con el que está hecho es PHP. Frameworks: ZendFramework, CakePHP, Symfony, Codeigniter...