Además, como ya he empezado por este camino, ahora me aparece esto cuando intento editar ciertos textos del sitio:
Puedo replicar esto. Es esta URL la que no funciona:
/admin/customize/site_texts?q=confirm%20old
No recuerdo que el enlace haya funcionado alguna vez sin un parámetro de localización 
/admin/customize/site_texts?q=confirm%20old&locale=en funciona bien para mí.
Y creo que el hecho de que no puedas personalizar el texto “confirmar correo antiguo” es intencionado. Es un correo electrónico que solo se envía al personal.
2 Me gusta
¿Entonces esto también es un error de UX? No debería ser posible aterrizar en una página críptica de “Acceso denegado” al buscar textos del sitio y luego editarlos.
2 Me gusta
Me llamaron la atención sobre el hecho de que, desde la publicación de Codinghorror, se ha añadido la configuración require change email confirmation. Esto significa que el mensaje ahora se puede enviar a más personas además del personal.
La razón original para bloquear las ediciones de esta plantilla era válida en su momento, pero hoy en día la protección que ofrece es diferente. Un atacante que conozca la contraseña de un administrador puede simplemente:
- Usar la contraseña para configurar la autenticación de dos factores para esa cuenta.
- Crear una nueva cuenta.
- Usar el código 2FA para otorgar derechos de administrador a la nueva cuenta.
A partir de ahí, pueden enviar la copia de seguridad a su propia dirección de correo electrónico sin necesidad de que un administrador haga clic en un enlace para confirmar un cambio de dirección.
Por lo tanto, la pregunta es: ¿sigue teniendo sentido bloquear las ediciones de esta plantilla? Ahora se envía a usuarios normales y ya no protege la descarga de una copia de seguridad.
Además, Data Explorer ahora siempre está instalado y se puede utilizar para acceder a la base de datos.