Pues por que si no te hackean, así de simple :) Ayer estuve grabando un vídeo para Webempresa que cuelgo aquí también.. Se puede ver que es bastante simple hackear un Joomla desactualizado, en el vídeo no se muestra un hackeo 100% completo, pero entiendo que la técnica de robo de sesión queda bastante clara.. Si en lugar de introducir un simple alert en la URL que se aprovecha de la debilidad XSS lográramos introducir un script de BeEf, por ejemplo, pues entonces no solo podrían robarte la sesión, sino que hasta podrían obtener una shell de tu sistema.. Inquietante, eh?? Ya sabeis, toda protección es poca :)
NOTA: Advertir, que esto no sólo pasa en Joomla, te pueden hacer exactamente lo mismo en cualquier CMS que no esté actualizado, se llame Drupal, WordPress, Moodle, DotNetNuke… o como quieras llamarle..