WordPress インストール、で検索して最初にヒットしたページからたらい回されて辿り着いたWordPress のインストール [wordpress.org]を流し読みすると、
パスワードの設定の前にブラウザからアクセスしてインストールスクリプトを実行、なる手順が出てくるね…。

初心者でも簡単にセットアップ出来るように作ったあまり、初心者には危険すぎる手順になっちゃったのかな。

1. ドメイン名を準備
2. 外部からアクセス可能な空っぽのWebサーバを立ち上げてlet's encrypt
3. Webサーバに証明書をきっちり設定する
4. Webサーバの外部からのアクセスを禁止に
5. WordPressのスクリプトを展開
6. ローカルから繋げてブラウザでWordPressのインストールスクリプトを実行
7. 十分に安全な設定にしてから、再び外部からのアクセスを許可

という手順が要る。
最初のツイートとかを見ると、WordPressはURL設定に敏感なので、セットアップ後にURLを変えるのは面倒くさいらしいので。
だとすると、6でsshのポートフォワードなりを使いたくなるけど、ちょっと面倒くさそうかな。
プロクシをフォワードするのが楽かな。

あと、いずれにせよ潜在的に危険な手順だけど、
WordPressを展開→let's encrypt→WordPressの初期セットアップ
よりは、
let's encrypt→WordPressを展開→WordPressの初期セットアップ
の方が短時間とは言えバレるまでにラグがあるし危険な状態の時間が短い分だけかなりマシかな? と思ったけど、そんな事はないか。
攻撃者側は、登録されたのを見かけた時点で、次はWordPressが展開されるかも知れない、と鬼のようにアクセスを繰り返し始めたら良いだけなので。