Imho, в том или ином виде подобная настройка обязательно должна присутствовать во всех движках, иногда она может быть доступна в виде опции, иногда - прописана в конфигах, но в любом случае должна быть.
Если нет возможности блокировать исполнение HTML-содержимого, то сайт на таком движке будет несложно заразить.