De plus, puisque j’ai commencé dans cette voie, j’obtiens maintenant ceci lorsque j’essaie de modifier certains textes du site :
Je suis capable de reproduire cela. C’est cette URL qui ne fonctionne pas :
/admin/customize/site_texts?q=confirm%20old
Je ne me souviens pas que le lien ait jamais fonctionné sans paramètre de locale 
/admin/customize/site_texts?q=confirm%20old&locale=en fonctionne bien pour moi.
Et je pense que le fait que vous ne puissiez pas personnaliser le texte « confirmer l’ancien e-mail » est intentionnel. C’est un e-mail envoyé uniquement au personnel.
2 « J'aime »
Est-ce donc aussi un bug d’ UX ? Il ne devrait pas être possible d’atterrir sur une page cryptique « Accès refusé » lors de la recherche de textes de site et de leur modification.
2 « J'aime »
Il a été porté à mon attention que depuis le message de Codinghorror, le paramètre require change email confirmation a été ajouté. Cela signifie que le message peut maintenant être envoyé à plus que le personnel.
La raison initiale du blocage des modifications de ce modèle était valide à l’époque, mais aujourd’hui, la protection qu’il offre est différente. Un attaquant qui connaît le mot de passe d’un administrateur peut simplement :
- Utiliser le mot de passe pour configurer l’authentification à deux facteurs pour ce compte.
- Créer un nouveau compte.
- Utiliser le code 2FA pour accorder des droits d’administrateur au nouveau compte.
À partir de là, ils peuvent envoyer la sauvegarde à leur propre adresse e-mail sans avoir besoin qu’un administrateur clique sur un lien pour confirmer un changement d’adresse.
La question est donc : le blocage des modifications de ce modèle a-t-il encore un sens ? Il est maintenant envoyé aux utilisateurs réguliers et ne protège plus le téléchargement d’une sauvegarde.
De plus, Data Explorer est maintenant toujours installé et peut être utilisé pour accéder à la base de données.