Odpověď na názor

To neni ten podstatny faktor. Tim faktorem je kultura, licencni politika apod. Pak jsou za tim samozrejme taky komercni vlivy.
Drupal ma (pres vsechno spatne co v nem je) pomerne jasne API.
Drupal ma za sebou Security team, pomerne cerstve ma taky neco jako "certifikace" modulů prave od secteamu.
Drupal ma schvalovaci proces pokud chces na drupal.org pridat contrib project(modul, sablonu apod).
Drupal ma za sebou Acquia. Ma jasne vize - i ty technicke. Ma placene vyvojare. Od toho se odrazi veci jako drush, drush make, nove Console.

Tohle vsechno dohromady znamena, ze kdyz se objevil Drupalgeddon tak bezny spravce webů na Drupalu (pouziva SSH a git, pripadne rovnou nejaky CI) dokaze vse fixnout aplikaci jednoho patche na vsechny weby v radu hodin.
Typicky lepič/klikač Wordpressu (pouziva FTP na Wedosu) ani netuší, že se něco děje.

Viz nedavny clanek o tisicich zranitelnosti v pluginech WP - tam slo diletatnstvi a jasne exploity. Naproti tomu drtiva vetsina security issues u Drupalu ma v podminkach, ze uzivatel musi mit opravneni "administer NĚCO" coz dokazu zpravidla vyhodnotit tak, ze tito uzivatele jsou provereni a neni treba to resit akutne, neni to 0day, nejsou to otevrene dvere jako krava.

Ale buďme fér - i ve firmách spravujících miliardy dolarů jsou diletanti schopní nechat tenhle jedinej skutecnej pruser za historii Drupalu nezaplatovany nekolik let... (panama papers)