Du bør kjøre WP scan med plugin enumeration.

Men du beveger deg uansett langt forbi det opprinnelige målet, å bevise at selve passordløsningen er svak.
For selve svakheten med ett felles passord er jo ikke at det kan bruteforces (alt kan brute forces) men at det kan deles.
Den største sikkerhetsrisikoen her er menneskelig svikt og ikke systemsvikt.

Hva slags data som beskyttes er også ett poeng her, generisk data som "alle" har tilgang til behøver kanskje kun å beskyttes mot script kiddies.
For innse det, du har sikkert brukt mange timer allerede uten å knekke dette "dårlige" systemet.

Det du beveger deg mot nå er å angripe hele plattformen, og jeg vil tro at det er enklere å bryte seg inn via andre innganger enn å bruteforce passordet som ofte er aller siste utvei pga støyen ett slikt angrep skaper.
Og dersom du faktisk får gjennomført det så kan administrasjonen enkelt peke på at de oppdaget aktiviteten.

Jeg mener ikke å være frekk men jobber du virkelig med php/js uten at du klarer å manipulere en tekststreng?