Inoltre, da quando ho intrapreso questa strada, ora ricevo questo quando tento di modificare determinati testi del sito:
Sono in grado di replicarlo. Ă questo URL che non funziona:
/admin/customize/site_texts?q=confirm%20old
Non ricordo che il link abbia mai funzionato senza un parametro di locale 
/admin/customize/site_texts?q=confirm%20old&locale=en funziona bene per me.
E penso che il fatto che tu non possa personalizzare il testo âconferma vecchia emailâ sia intenzionale. Ă unâemail inviata solo allo staff.
2 Mi Piace
Quindi questo è anche un bug di UX? Non dovrebbe essere possibile finire su una pagina criptica âAccesso negatoâ quando si cercano testi del sito e poi li si modifica.
2 Mi Piace
Mi è stato segnalato che, a partire dal post di Codinghorror, è stata aggiunta lâimpostazione richiedi conferma email di modifica. Ciò significa che il messaggio ora può essere inviato anche a utenti non staff.
Il motivo originale per bloccare le modifiche a questo modello era valido allâepoca, ma oggi la protezione che offre è diversa. Un aggressore che conosce la password di un amministratore può semplicemente:
- Usare la password per configurare lâautenticazione a due fattori per quellâaccount.
- Creare un nuovo account.
- Usare il codice 2FA per concedere allâaccount nuovo i diritti di amministratore.
Da lĂŹ, possono inviare il backup al proprio indirizzo email senza bisogno che un amministratore clicchi su un link per confermare una modifica dellâindirizzo.
Quindi la domanda è: bloccare le modifiche a questo modello ha ancora senso? Ora viene inviato agli utenti normali e non protegge piÚ il download di un backup.
Inoltre, Data Explorer è ora sempre installato e può essere utilizzato per accedere al database.