Естественно в популярных скриптах (в частности опенсорс) есть уязвимости и постоянно находят всё новые уязвимости. О чём я регулярно пишу у себя на сайте. Но не только в опенсорс, но и в коммерческих продуктах есть уязвимости (как с открытым, так и закрытым кодом). Что хорошо видно из моих публикаций.

Но возникает вопрос - что тогда использовать.

Использовать нужно безопасные веб приложения. А так как дыры есть везде, то нужно проводить аудит безопасности используемых веб приложений, для нахождения и исправления всех уязвимостей. И тогда сайты, где был проведён аудит, будут в безопасности.

Естественно при изменениях в коде веб приложений потребуется их повторный аудит. Т.е. за безопасностью сайта и всех используемых веб приложений нужно следить постоянно.

но все же взлом это видимо лишь вопрос времени.

Если провести надёжный аудит безопасности всех веб приложений, то можно себя полностью обезопасить от веб атак. А если ещё и обучить сотрудников противостоять атакам социальной инженерии, то вероятность взлома сайта будет сведена к нулю. Т.е. для взлома сайта понадобится слишком большое время, поэтому никто не будет за это браться .