La risposta breve è che un tale compromesso darebbe a un utente malintenzionato la possibilità di fare tutto ciò che un amministratore potrebbe fare. Questo probabilmente include:
- Modifica dei file del tema
- Installazione dei plug-in
- Accesso al database (Wordpress)
Etc.
Ovviamente, l'amministratore avrebbe la possibilità di installare plugin / file dannosi (come una webshell).
But any other risk beyond the wordpress site itself?
È sicuro assumere "sì" - che ci sarebbe un ulteriore rischio.
Senza entrare in un'enorme quantità di dettagli, il danno che si potrebbe fare sarebbe un prodotto di:
- La tua configurazione del server web (hai
chroot dei tuoi file web)?
- Le autorizzazioni con cui viene eseguito l'eseguibile
php
- Quanto è stato prudente impostare i permessi dei file sul tuo server. Hai realizzato file importanti scrivibili in tutto il mondo?
Riguardo all'ultimo punto: ovviamente, anche se i tuoi file "importanti" non sono scrivibili in tutto il mondo, potrebbero benissimo essere leggibili a livello mondiale.
Non sto cercando di auto-promuoverti qui, ma potresti dare un'occhiata a questa piattaforma webshell che ho realizzato:
link
I demo che compromette un'applicazione Wordpress su YouTube. Questo ti dà una visione abbastanza ragionevole del tipo di problemi che un utente malintenzionato potrebbe causare:
link
Per favore perdona il video monotono e di bassa qualità:)
TL; DR: se avessi un account amministratore compromesso, personalmente considererei l'intero sistema compromesso e lo ricostruirò da zero, se fosse un'opzione.