Después de leer tu pregunta varias veces, creo que entiendo lo que quieres decir. ¡Estás hablando de un Administrador en el sentido de Joomla! o administrador de WordPress. Donde un administrador es un concepto creado por la propia aplicación, y ese administrador no tiene acceso al servidor real.
En las aplicaciones (Joomla !, WordPress, ModX, Concrete5, DotNetNuke, etc.), el administrador puede instalar componentes y complementos que son básicamente código del lado del servidor que puede leer los archivos del servidor y, finalmente, tienen tanto acceso a la base de datos como su aplicación. Entonces, si su aplicación puede almacenar y leer los datos confidenciales, es muy probable que el administrador de la aplicación pueda leer dichos datos.