Viele (die meisten?) bekannten und beliebten CMS werden entweder von Kindern oder von Hobbyprogrammieren programmiert, die noch nie was von Cross Site Scripting (XSS) oder ähnlichem gehört haben.
Z.B. besteht das Webspellteam hauptsächlich aus Kindern / Jugendlichen. Wen wundert es da, dass die Teile mehr einem Lochsieb als einer sicheren Lösung gleichen?
Gut, man sollte immer im Kopf behalten, ob der Aufwand, eine Seite "sicher" zu machen, die Wichtigkeit der Seite nicht übersteigt, ein kleiner Eintagsfliegenclan braucht natürlich nicht die Sicherheit, wie sie bei einer Bankseite vorhanden sein muss. Dennoch finde ich es fahrlässig, solch unsichere Fertigsysteme zu veröffentlichen. Dass aber auch Firmen Fertigsysteme bauen, die jedem Hacker offen stehen, zeigt PHPnuke. Aber gut, darum geht es hier nicht.