La respuesta corta es que tal compromiso le daría a un atacante la capacidad de hacer cualquier cosa que un administrador pueda hacer. Eso probablemente incluiría:
- Alterar archivos de tema
- Instalación de complementos
- Accediendo a la base de datos (Wordpress)
Etc.
Por supuesto, el administrador también tendría la capacidad de instalar complementos / archivos maliciosos (como un shell web).
¿Pero algún otro riesgo más allá del sitio de wordpress?
Es seguro asumir que "sí", que habría un riesgo adicional.
Sin entrar en una gran cantidad de detalles, el daño que podría hacerse sería producto de:
- La configuración de su servidor web (¿
chroot sus archivos web)?
- Los permisos con los que se ejecuta el ejecutable
php
- Qué tan prudente ha sido la configuración de permisos de archivos en todo su servidor. ¿Has hecho algún archivo importante de escritura mundial?
Respecto a este último punto: por supuesto, incluso si sus archivos "importantes" no se pueden escribir en todo el mundo, es muy posible que puedan leerse en todo el mundo.
No estoy intentando autopromocionarme aquí, pero es posible que desees echar un vistazo a esta plataforma webshell que hice:
enlace
Demo comprometiendo una aplicación de Wordpress en YouTube. Esto le proporciona una visión general bastante razonable del tipo de problema que podría causar un atacante:
enlace
Por favor, perdona el video monótono de baja calidad :)
TL; DR: si tuviera una cuenta de administrador comprometida, personalmente consideraría todo el sistema comprometido y lo reconstruiría desde cero, si fuera una opción.