Die kurze Antwort: Jein! Die lange Antwort ist etwas komplizierter! Und natürlich ist Joomla kein unsicheres CMS per se und grundlegend schlecht schon gleich gar nicht.
Joomla leidet - wie alle anderen Open Source CMS - zu allererst einmal schlicht unter seiner Bekanntheit und seiner Verbreitung! In erster Linie können Webseiten, mit Content Management Systemen wie Joomla, so schnell und oft gehackt werden, weil eben jede Zeile Quellcode im Netz offen verfügbar ist. Und natürlich ist Joomla auch eines der beliebtesten CMS für kleine bis mittelgroße Webseiten, Blogs und sogar Shops. Ein potentieller Angreifer hat also alles vor Augen, um Sicherheitslücken aufzudecken und auch sehr viele potentielle Ziele. Die kriminelle Energie ist also verdammt hoch und ein Hacker hat gute Voraussetzungen!
Man darf aber auch nicht verschweigen, dass Joomla ein CMS mit langer Vergangenheit ist und teilweise noch Paradigmen aus einer Zeit mitschleppt, in welcher es noch nicht Joomla hieß. Paradigmen, welche es für Entwickler recht flexibel machen. Sofern man sich an ein paar wenige Grundvoraussetzungen hält kann man ab da eigentlich in jeglicher Manier programmieren, ohne dass es Kompatibilitätsprobleme gibt. Und das ist das zweite Problem, warum Jooml-Webseiten oft gehackt werden. Unsichere Drittanbieter-Erweiterungen.
Aber ab hier würde es wohl zu weit gehen.