Bei Joomla wurde mir damals schlecht, als ich dessen Quellcode sah und wie die Themes behandelt wurden.
Aber da hat wohl jedes halbwegs abwärtskompatible und jahrzehntelang gewachsene Projekt seine Problemzonen.

Joomla und Wordpress waren damals in der Endauswahl
und waren so die beiden Projekte, welche von den meisten Leuten empfohlen wurden.

Nja, bei Wordpress hab ich auch selber ein bissl was für die Sicherheit getan, denn man glaubt garnicht wie oft pro Tag sich da wer versucht reinzuhacken.
Und die Kommentarfunktion ohne Antispamerweiterung ist auch nicht empfehlenswert. (man kann Kommentare von Haus aus so einrichten, dass sie erst freigegeben werden müssen, aber wer will das schon von Hand machen)