↑
Ну что касается joomscan забей на него нах он вата.
Что касается WPscan он тоже ватный чисто так для беглого аудита.
Всю инфу по багам он берет из своей базы сверяя с версией проверяемого CMS.
Если тебе более детальная информация нужна по уязвимостям, используй OWASP ZAP или Burp Suite можно ещё
Acunetix
или Archni заюзать.
Как варик можно ещё skipfish попробовать, и w3af. Удачи