Как заметил уважаемый doznpp, следует различать понятия «безопасность сайта» и «безопасность системы управления сайтом». При тесте на проникновение атакующий может скомпрометировать целевое веб-приложение, не обнаружив ни одной уязвимости в CMS. Одним из таких методов являются уязвимости класса «недостаточной аутентификации» (Insufficient Authentication), так хорошо знакомые администраторам сетевых устройств CISCO ;).
Пароли, установленные по умолчанию (что-то вроде admin:admin) в панелях администрирования, стали головной болью многих веб-мастеров и, как следствие, лакомым кусочком для хакеров и пентестеров, став отдельным типом уязвимостей.