Es relativo. Es cierto que muchos pre son vulnerables, pero son los que más actualizan y corrigen. En su contraparte, los menos famosos, son los que nunca se actualizan y corrigen, normalmente el programador lanza una versión y más nunca la vuelve a actualizar.

Es cuestión de analizar. Aca tienen una web muy interesante para probar varios pre rápidamente y sin instalarlos:

http://www.opensourcecms.com/

Saludos,