A szolgáltató (azon belül, akinek rootja van...) egyébként is trusted party, nem?
Mert egyébként simán belép a MySQL root-tal, átüti az oldal adminjának a jelszavát egy magának kedvesre, bemegy az admin felületre gonoszkodni, aztán visszaírja a jelszót a korábbira.
Ha meg 2FA, akkor arra az időre letiltja.
Vagy csak megnézi, hogy mit tárol a sessionben authhoz egy WP, megnyitja az oldalt, a szerveren a session fájlban átüti a megfelelő értékeket, frissít egyet, és benn van.
Vagy...
BlackY