Вот как бы я это сделал. Настройте свою форму входа, чтобы принять имя пользователя и пароль. Если пароль равен паролю по умолчанию, установите произвольное значение в таблице usermeta. На вашей целевой странице входа в систему проверьте логику для этого значения usermeta, если оно существует, отобразите форму для создания нового пароля. При успешной смене пароля удалите значение usermeta.
Вот кое-что, с чего можно начать ...
var $creds = array();
$creds['user_login'] = 'example';
$creds['user_password'] = 'plaintextpw';
$creds['remember'] = true;
if ($creds['user_password']=='default'){
$metakey = 'mustchangepw';
$metavalue = 'true';
update_usermeta( $userid, $metakey, $metavalue );
}
$user = wp_signon( $creds, false );