Nem nem törik fel, csak nem veszik észre. :)
Na de komolyabbra fordítva:
Ha nem rakod agyon, mindenféle külső modullal a joomlat, akkor a régi verziókból az utolsó kiadás viszonylag nehezebben törhető meg. (Tapasztalatom szerint nem az alap cms miatt lesz áldozat az oldal, hanem valami külső galéria, fórum, akármi más rátelepített modul miatt, mert ugye a joomlat legjobb esetben frissíti az user, de a rátelepített modulokat már nem...)
Másrészt jól be kell korlátozni a php-s funkciókat, hogy semmiféle külső kódot ne lehessen lefuttatni, feltölteni stb.
Persze így is van, hogy feltörik, de legalább a scriptkiddiek ellen véd :)