Penetration testing.
An adversarial, manual test of your WordPress site, authenticated and unauthenticated, within agreed rules.
1–3 Wochen · Nimmt Anfragen an · ein Nachtest inklusive
Was wir damit tun
Adversarial test.
Ein Penetrationstest ist kein Scanner-Lauf. Es ist ein fokussierter, zeitlich begrenzter Auftrag, bei dem jemand mit dem Können und der Absicht, deine Seite zu kompromittieren, genau das versucht — innerhalb vereinbarter Regeln — und exakt dokumentiert, was funktioniert hat.
Wir haben viele WordPress-Seiten bereinigt. Diese Erfahrung sagt uns, wo wir zuerst ansetzen: veraltete Plugins, schwache Admin-Passwort-Richtlinien, exponiertes XML-RPC, fragile WooCommerce-Checkout-Flows, in Eile hinzugefügter Custom-Code.
Drei Varianten
-
Black-Box
No prior access. I'm treated like any internet visitor. Best for measuring "how exposed are we from outside?"
-
Grey-Box
Konto mit niedrigen Rechten (Abonnent, Mitarbeiter, WooCommerce-Kunde). Am besten zur Messung der Auswirkung eines kompromittierten Nutzerkontos.
-
Authentifiziert
Admin- oder Redakteurszugang bereitgestellt. Am besten, wenn die Rolle selbst Schaden anrichten kann (die meisten Setups mit umfangreichen Plugin-Rechten).
Scope-Abdeckung
Was wir erheben
Jeder Pentest wird auf deine spezifische Seite zugeschnitten. Die Kategorien unten sind die Standardoberfläche — wir ergänzen oder entfernen je nach dem, was du tatsächlich betreibst.
Login-Flow, Passwort-Reset, 2FA-Implementierung, Brute-Force-Schutz, Session-Handling, Rollentrennung.
Bekannt verwundbare Versionen, Custom-Plugins, Premium-Plugins, aufgegebene Plugins, die noch installiert, aber deaktiviert sind.
Was ein Abonnent, Mitarbeiter, Autor und Redakteur tatsächlich tun kann — inklusive Privilege-Escalation-Pfade zwischen Rollen.
REST-API-Endpunkte, XML-RPC, AJAX-Handler, eigene API-Routen und jedes von Plugins exponierte GraphQL.
Checkout, Warenkorb, Konto-Flows, Gutschein-Logik, Zahlungs-Gateway-Integration, Kundendaten-Exposition.
Upload-Validierung, EXIF-/Metadaten-Injektion, Path-Traversal, ausführbare Inhalte in Uploads, Mediathek-Berechtigungen.
Formulare, Suche, Kommentar, Kontakt und jedes Eingabefeld — XSS, SQL-Injection, SSRF, Template-Injection.
Security-Header, HSTS, CSP, Cookie-Flags, TLS-Konfiguration, Zertifikatskette, Mixed Content.
Debug-Endpoints, exponierte .git- oder .env-Dateien, User-Enumeration, ausführliche Fehlermeldungen, geleakte Stacktraces.
So funktioniert es
Vom Kickoff bis zum Debriefing.
- Schritt 1
Umfang
Ziele, Variante, Regeln, Timing.
- Schritt 2
Recon
Oberfläche und Integrationen kartieren.
- Schritt 3
Exploitation
Break things methodically. Document every technique.
- Schritt 4
Bericht & Debriefing
Bericht, Walk-Through-Gespräch, Nachtest.
Ergebnis
The report.
Jeder Pentest wird mit einem schriftlichen Bericht ausgeliefert. Er enthält genau, was getestet wurde, was gefunden wurde, wie sich jeder Befund reproduzieren lässt, welche Auswirkung er hat und eine empfohlene Behebung, die nicht den Kauf eines separaten Produkts erfordert.
Jeder Befund enthält:
- Titel und Schweregrad (kritisch, hoch, mittel, niedrig, informativ)
- Betroffene Komponente (Plugin-Name & Version, Endpoint, Dateipfad)
- Reproduktionsschritte — der konkrete HTTP-Request, der curl-Einzeiler oder der Klickpfad
- Was ein Angreifer damit anstellen könnte (Auswirkung, kein CVSS-Vortrag)
- Konkrete Behebung — für deine Codebasis, kein generischer OWASP-Link
- Verweise auf relevante CVEs oder Forschung, wo vorhanden
Geeignet zur Übergabe an einen Entwickler, einen Versicherer, ein Compliance-Team oder einen Kunden, der einen Testnachweis verlangt hat.
Preise
Nimmt Anfragen an
Vor Arbeitsbeginn angeboten. Enthält den schriftlichen Bericht, das Debriefing-Gespräch und einen Nachtest.
Quoted
1 Woche
Broschüren- oder Content-Seite mit Standard-WordPress + einer Handvoll bekannter Plugins. Black- oder Grey-Box.
- und Subdomains
- Bis zu 15 installierte Plugins
- Schriftlicher Bericht.
- Ein Nachtest (innerhalb 90 Tage)
Quoted
2 Wochen
Business-Seite mit Custom-Code, WooCommerce-Shop mit moderatem Plugin-Set oder mehrsprachige Installation. Authentifiziertes Testing inklusive.
- und Subdomains
- Bis zu 40 installierte Plugins
- Authentifizierte Pfade inklusive
- Schriftlicher Bericht.
- Ein Nachtest (innerhalb 90 Tage)
Individuell
2–3 Wochen
Multisite-Netzwerke, komplexe WooCommerce-Plattformen, Custom-Plugins für Tausende Seiten oder Seiten unter aktivem Compliance-Druck.
- Nimmt Anfragen an
- Quellcode-Review inklusive
- Executive Summary + technischer Bericht
- Zwei Nachtests
Häufig gefragt
Häufige Fragen.
Wird Google meiner Seite wieder vertrauen?
Fast nie. Wir führen keine Denial-of-Service-Angriffe durch und drosseln unsere Requests deutlich unter normales Traffic-Niveau. Für die meisten Aufträge empfehlen wir Staging, aber wir können mit deiner Freigabe auch in ruhigen Fenstern auf Produktion testen.
Muss ich euch Live-Kundendaten geben?
Nein. Wir testen lieber gegen einen Staging-Klon mit synthetischen Daten. Wenn Produktionstests erforderlich sind, nutzen wir Konten, die du für uns anlegst, und greifen oder bewahren keine Kundendaten auf über das hinaus, was zur Demonstration eines Befunds zwingend nötig ist.
Seid ihr registrierte Penetrationstester?
Ja — wir teilen Qualifikationen, Referenzen und einen Beispielbericht (redigiert) gern im Scoping-Gespräch. Auf Wunsch unterzeichnet das Team vorher eine gegenseitige NDA.
We just want "a pentest" for an insurance form. Do I need this?
Kommt aufs Formular an. Manche Versicherer akzeptieren ein Sicherheitsaudit (günstiger, strukturiert) statt eines Pentests. Das klären wir im Scoping-Gespräch — wir verkaufen dir lieber das Richtige als das Größere.
Wofür interessierst du dich?
The report still documents everything I tried, with negative results explicitly stated. "Attempted X, Y, Z and found no issues" is itself a valuable artifact for insurers and for your own peace of mind.
E-Mail [email protected] or use the contact form.