Joomla достаточно выросла в плане безопасности со времен 1.5 и 2. Уже не все так просто.
В порядке возрастания по сложности (на мой взгляд):
1) Брут (получится, если нет какого-нибудь компонента типа BruteForceStop и стоит легкий пароль);
2) Найти CVE в расширении или в ядре, если неактуальная версия Joomla (можно поискать
сканером);
3) Получить доступ к почте юзера и сбросить пароль;
4) Найти брешь в настройках, ну например, возможность заливки чего-либо через формы;
5) Найти уязвимость на сервере. Если это shared-хостинг, то может через какого другого юзера найти точку входа.