Не знаю где тут холивар должен начаться, но отсебятину могу сказать следующую.
Проблема не столько в самой джумле, сколько в сторонних расширениях, которые в основном никак не защищены и сделаны, как мы говорим, за чашку риса.Менеджеры файлов - открывают дыры для заливки на сервер хак- скриптов, которые крадут хеш паролей, а написать в пхп 2 строки и запустить, чтобы вывести пароль из md5 или др. даже адекватному школьнику подсилу.
Компоненты блогов, галлерей и т п уязвимы для sql - инъекций, - итого вбил в строку браузера запрос или запустил перл скрипт, эксплоит и тому подобные чудеса - вуаля админский пароль во всей красе...
Насчет безопасности - кто вам мешает сделать все рекомендации по безопасности + поставить файрволл ??))
версии джумлы которые используются сейчас сами- по себе (без посторонних расширений и сборок) довольно таки не плохая система.
Насчет загрузки страниц - есть сборки и шаблоны которые весят 40 кб и загружаются фактически моментально - для простого сайта - визитки , весьма не дурно. Тем более gzip , кеш, css tidy + минимизация картинок - их никто не отменял и эта процедура обязательна для любого сайта.
Я думаю что даже если на самой крутой системе написать сайт через *опу и картинок напихать туда кучу , и по 10000 строк закоментированными в css держать , то особо быстро сайтец гонять не будет. Все зависит от подхода и наличия 1)ума 2)рук 3)руки ростут из плечей.
Даже если предположить! что Джумла медленная (ну предположим) то можно подумать любой магазин, который сейчас создается, будет иметь миллионы посетителей 
) день і ніч від будь-яких атак. 
Блог то сила.