Возможно никто и ничего не продает, просто когда сайт самописный, то хакеру придется хоть немного, но повозиться, чтобы посмотреть что там и как.
А когда это типовой, общедоступный движок, что стоит только одну взломщику найти дыру и сообщить об этом, как толпы "кулхацкеров" ломануться атаковать известные сайты на движке (уже имея подробное, пошаговое действие как и что ломать), бахвальствуясь потом на форуме, что вот они лично взломали домашнюю страничку васи пупкина...
С переходом все равно придется столкнуться, только если вы не мега-программист, который знает каждый знак в коде движка и плагинов наизусть (есть еще те, кто сидит и на джумле 1.0, и даже избегают атак, но там надо реально копаться в самых дебрях кода..)
Ну и как уже я и Sergo сказали, что поддержка 1.5 в скором времени прекратится (как это было с 1.0 после выхода 1.5) и залатывание дыр уже полностью ляжет на ваши плечи, или каких-нибудь энтузиастов, но тогда уже точно нет гарантии в надежности самих заплаток...