Правильно, залится в wp можно только имея акк админа. Также в таких случаях уязвимости CRSF, XSS (а их большинство) не стоит даже расматривать как вариант, ибо направленные именно на пользователя(админа,редакт ора). Тебе нужно искать SQL,LFI,RFI, Upload/Download File, RCE - уязвимости. И не стоит зацикливаться на одном сайте, хэши будут расшифровываться крайне редко..., а другого типа уязвимости будут крайне редко попадаться...

Далее защита от входа wp-admin часто реализована плагинами безопасности, отключаются они удалением их из таблицы wp_options содержимого поля active_plugins - нужно иметь прямой доступ к БД., но в твоем случае больше похоже на защиту со стороны сервера,хостинга. Обойти как правило нельзя, можно попробывать найти ip админа в таблице wp_options и потом искать прокси в диапазоне его ip, но нет тоже гарантий что сработает. еще как вариант попробовать зайти с японского прокси