In effetti i signori dei vari call center risultano sempre un pò "vaghi" nel dare informazioni soprattutto sui CMS open source, visto che non hanno alcun guadagno nel sponsorizzare questa o quella soluzione.
Il problema non è capire se Joomla è sicuro o meno, anche perchè se, come ti hanno suggerito, mantieni aggiornata la tua versione con l'ultima disponibile (che solitamente proprio copre quelle possibili falle di sicurezza che lo stesso team ha riscontrato) non avrai problemi.
La sicurezza è data anche da altri fattori, soprattutto anche da come viene impostato il server che ti ospita.
Non meno importante è anche l'aspetto che riguarda la installazione di plug-in aggiuntivi (componenti, mambot o moduli) di terze parti che spesso e volentieri non sono sicuri e hanno dei bug conosciuti.
Quello che consiglio è di tenere sotto controllo questa lista
http://help.joomla.org/component/option,com_easyfaq/task,view/id,186/Itemid,268/ dove ci sono alcuni dei componenti non ritenuti sicuri (dovrebbe essere costantemente aggiornata).
Altra cosa, prima di installare qualcosa di cui non si è certi (non bisogna farsi prendere dalla smania di installare un nuovo componente solo perchè chi lo ha fatto professa cose fantastiche che si possono realizzare con lo stesso) meglio chiedere informazione sui vari forum, anche internazionali (un pò di inglese non fa male, ci si allena pure
)
Se poi si vuole fare qualche test sui propri siti per vedere se ci sono falle, posso consigliare (come lo hanno fatto con me) Acunetix Web Scanner (la versione free) che consente di fare una scansione di un intero sito per verificare le falle conosciute.
L'ho testato e funziona bene.... soprattutto ho potuto constatare che i siti sui miei server sono ben impostati, a differenza di certe str.....e che ho trovato su sgaragnao e altri che invece non sono proprio così sicuri.
