Это же не рафинированный кусок скрипта с уязвимостью, а "реальный сайт", просто на исследование "чего тут вообще есть" нужно время.

Все нормально.

Полезно поковырять для практики, легально разрешили проверить площадку на прочность, но все же не хочется, чтобы на это тратили слишком много времени, лучше поковырять суть задания.

Поэтому небольшие хинты.

У ВП не зря залочена админка.

Ищем другие точки входа.

Многие уже нашли, несколько человек уже даже открыли.

Собственно там и начинается задание, а пока это накладные расходы, свойственные работе на реальных сайтах.

У олдфагов будет повод убедиться, что один из старых трюков эту дверь тоже откроет.

Есть и еще одна точка входа, для цтфников она практически стандарт, хотя на сайтах почти не встречается.

Короче есть два входа, один да найдете.

Про флаг. Он помечен явно, что это флаг, не ошибетесь.