Se si ha un sito Joomla con installato un componente per l’e-commerce, quale ad esempio VirtueMart, a volte potrebbe essere necessario generare o modificare un ordine di un cliente che, pur essendo registrato, ha inoltrato la richiesta per telefono.
Non è raro infatti che un cliente non si ricordi la password, oppure non può accedere a Internet per una qualsiasi ragione e pertanto utilizzi il telefono per ordinare.
Purtroppo di default su Joomla non è prevista la possibilità per l’amministratore di loggarsi in modo autonomo come un utente registrato se non autenticandosi con user e password dell’utente stesso: un limite di Joomla notevole, ma superabile utilizzando plugin appositi.
Ad esempio, il plugin Master User, utilizzabile sul CMS Joomla versione 1.5 – 2.5 – 3.0, consente agli amministratori designati di accedere, utilizzando le loro password di amministratore, nell’account di un determinato utente registrato e quindi di poter eseguire tutte le operazione come se le eseguisse direttamente questo utente.
Opzionalmente questa funzione può essere limitata a un solo amministratore selezionato oppure può essere estesa a tutti gli amministratori, ma il plugin, per motivi di sicurezza, non permette di effettuare il login come un altro amministratore.
Questo plugin funziona con il login standard di Joomla e le estensioni che utilizzano questo sistema di autenticazione: funziona con Community Builder se il login tipo di campo è impostato su “Nome utente, e-mail o CMS authentication plugins”, con il componente e-commerce Virtuemart e le altre estensioni che supportano i plugin di autenticazione Joomla.
Caricare e installare utilizzando il programma di installazione di Joomla e attivarla nel plugin manager.
Impostare l’opzione che permette di consentire a tutti gli amministratori di autenticarsi con gli account utente (opzione Sì) oppure se si preferisce che vi sia un solo amministratore con questo permesso (opzione NO) e in questo caso elencare, separati da una virgola (es. 62,64,76), nella casella Master User ids gli ID degli amministratori autorizzati.
E’ anche possibile limitare la funzione a una serie di indirizzi IP, elencandoli separati da una virgola nell’apposito campo Valid IP Adresses.
Una volta attivato il plugin, l’amministratore può accedere come qualsiasi utente registrato, utilizzando il nome utente del tale utente e la propria password di amministratore.
Poiché l’utente master usa semplicemente la propria password di amministrazione che è memorizzata in forma crittografata nel database di Joomla, questo non dovrebbe compromettere la sicurezza del sito.
Tuttavia, poiché gli attacchi del tipo ‘forza bruta’ contro siti Joomla stanno diventando sempre più comuni, con ripetuti tentativi d’accesso utilizzando combinazioni casuali di username e password, si consiglia di disattivare il plugin nel gestore di plugin di Joomla quando non lo si utilizza.