Como falei, Wagner, foge do conceito da intenção da construção do CMS. Para você ter ideia de como algumas coisas podem ficar muito misturadas.
Você se vê construindo uma Alura com o Joomla? Apesar de muito possível, você vai se deparar com cenários onde talvez a ferramenta não seja a ideal, você vai se pegar escrevendo muito mais código do que utilizando uma base.
O problema de pensar dessa forma é que você pode acabar fazendo escolhas por puro gosto ao invés de pensar nas vantagens e desvantagens de cada ferramenta. Quer um exemplo mais complexo? Imagine-se implementando um internet bank com Joomla. É possível? Sim, mas será o ideal? Muito provavelmente não.
Quer outro cenário? O site da Alura (fora da plataforma), poderia ser construido com Joomla ou WordPress, mas por que não é? Por que não faz sentido para a arquitetura adotada para Alura. No site em si, você não tem usuários, você não precisa de gerenciador de conteúdo e um monte de outras coisas que essas ferramentas tem.
Outro argumento que as pessoas usam é: "Não preciso agora, mas quando precisar, já vai estar lá, por que eu uso o X". Isso apesar de fazer sentido, não é ideal, por que se você for tentar prever todas as necessidades do seu sistema no inicio, provavelmente ele nunca vai sair do papel. O requisito é que ele pelo menos tenha o essencial pra funcionar bem, depois você evolui.
Sobre seu argumento de verificação de segurança, bom, não tem o que discutir, mas tenho o que adicionar, qualquer framework popular oferece recursos de segurança e esta sempre se atualizando. O maior problema em relação a segurança está nas mãos do desenvolvedor, se você não segue práticas seguras, seu software terá problemas independente da ferramenta que adote.
Na prática, você pode fazer "tudo" com qualquer ferramenta que aceite rodar seu código, por que é seu código que define as funcionalidades e comportamentos. Mas conceitualmente, você não deve, por causa do propósito da ferramenta que você adota.