Последнюю неделю пытаюсь проковырять админку на сайте с вордпрессом.

Сканер (wpscan) заявил что там дофига дыр (sql, xss), собственно моя дурная голова не давала покоя рукам и я безуспешно пытался разобраться в прогах типа BSQL и SQLmap, вышло нифига.

Плюнув на это бесполезное занятие скачал kali, и через metasploit пытался использовать показанные сканером дырки. пытался безуспешно. в настройках надо указывать не доменное имя а айпишник сервера на котором сайт. беда в том, что (как показал domainsdb.net) там ещё 22 сайта захощено (при том все одинаковые, только имена разные О_о ). подумал, что надо получить абсолютный путь к нужному сайту, получил через одну дырку обнаруженную тем же wpscan`ом, а вот использовать, фиг. то ли это всё nic.ru защищает, то ли я просто криворукий (думаю, второе ) но любой запрос по типу ай.пи.сервака/абсолютный/путь/имя_сайта/ давал 404.

Собственно в чём вопрос. знающие люди, направьте на путь истинный, посоветуйте как мне быть.