Possivelmente tinham alguma coisa instalada que ajudou a entrar.
Joomla de origem deve ser o mais seguro que existe ai, pelo menos dos livres. Mas basta haver módulos ou componentes com falhas para deixar uma porta aberta. Não sou especialista, mas penso que estou correcto.