Скажите, может ли быть одна CMS система быть более уязвима для вирусов, чем другая?

да

Если да, то какой критерий (кроме платная/бесплатная) является существенным?

платность/бесплатность никак не влияют. Вообще.
Влияет
- наличие опыта проектирования безопасных систем у разрабочиков ядра
- наличие активного сообщества
- быстрый ответ сообщества на найденную угрозу
- простая система распространения апдейтов

И какая CMS менее уязвима (предположу, что это Битрикс).

по приведенным выше пунктам, у битрикса нет ни одного пункта с положительным ответом.
Сравнение цмс по пункту "безопасность" довольно сложное занятие, тк нужно иметь опыт разработки на всех
Потому идеальный ответ - используйте фреймворки и учитесь правильно их готовить
АПД: стоит добавить, что по моим наблюдениям, большую часть уязвимостей приносят с собой плагины и код от сторонних разработчиков, а не уязвимости ядра или функционала, поставляемого с самой цмс

любая CMS уязвима. В большей/меньшей степени зависит от популярности CMS: чем она более "знаменита" тем больше уязвима, тем больше хакером/ИБ ищут в ней различные уязвимости. Есть миллион и один случай который не возможно учесть при разработке любой CMS: от установленных различных программ/приложений на вашем сервере, качество кода/плагинов до уязвимости самой интернет/локальной сети, уязвимости железа и "компьютерной гигиены" пользователя