Como arriba dijeron, todo cms tiene huecos de seguridad, sea ffa (free for all -gratis-), de pago, hecho en casa, etc etc, debido a que si no se explotan vulnerabilidades del cms, se explotan vulnerabilidades del lenguaje de programación, del sistema operativo del server, del panel de control del server, de la configuración del server, etc etc.
En otras palabras, todos somos vulnerables, pero por mi experiencia personal, el 99% de los ataques de hackers o de scriptkids son debidos a infecciónes a través de programas ffa ¿por qué? simplemente por que:
1. Cada vez que sacan una version nueva, avisan cuales son las vulnerabilidades corregidas, y entonces es fácil saber como explotarlas.
2. todo el mundo puede instalar un ffa y estudiar sus vulnerabilidades.
3. existen muchos sitios donde se ofrecen montones de aplicaciones para explotar vulnerabilidades.
4. existen (desdichadamente) sitios web que promueven juegos de destrucción de sitios web, o de marcado de sitios web, dichos scriptkids lo que hacen es competir por ver quien "mata" más sitios web!

;)