threatover Patrik Grobshäuser
Test de intrusión

Penetration testing.

An adversarial, manual test of your WordPress site, authenticated and unauthenticated, within agreed rules.

Hablar de un pentest ¿Qué pasa?

1–3 semanas  ·  Aceptando encargos  ·  una ronda de re-test incluida

Qué hacemos con ello

Adversarial test.

Un pentest no es ejecutar un escáner. Es un encargo enfocado y acotado en el tiempo donde alguien con la habilidad y la intención de comprometer tu sitio intenta comprometerlo — dentro de las reglas acordadas — y documenta exactamente qué funcionó.

Hemos limpiado muchos sitios WordPress. Esa experiencia nos dice por dónde empujar primero: plugins desactualizados, políticas débiles de contraseñas de admin, XML-RPC expuesto, flujos frágiles de checkout en WooCommerce, código custom añadido con prisas.

Tres modalidades

  • Caja negra

    No prior access. I'm treated like any internet visitor. Best for measuring "how exposed are we from outside?"

  • Caja gris

    Cuenta de bajos privilegios (suscriptor, colaborador, cliente de WooCommerce). Ideal para medir el impacto de una cuenta de usuario comprometida.

  • Autenticado

    Acceso de administrador o editor proporcionado. Ideal cuando el propio rol puede causar daño (la mayoría de instalaciones con permisos amplios en plugins).

Cobertura de alcance

Qué recogemos

Cada pentest se ajusta al alcance específico de tu sitio. Las categorías de abajo son la superficie por defecto — añadimos o quitamos según lo que realmente ejecutes.

Autorización

Flujo de login, restablecimiento de contraseña, implementación de 2FA, protección anti-fuerza-bruta, gestión de sesión, separación de roles.

Plugins y temas

Versiones con vulnerabilidades conocidas, plugins custom, plugins premium, plugins abandonados todavía instalados aunque desactivados.

Permisos

Lo que realmente pueden hacer un suscriptor, colaborador, autor y editor — incluyendo rutas de escalada de privilegios entre roles.

Superficie de API

Endpoints de REST API, XML-RPC, manejadores AJAX, rutas de API custom y cualquier GraphQL expuesto por plugins.

WooCommerce

Checkout, carrito, flujos de cuenta, lógica de cupones, integración con pasarelas de pago, exposición de datos de clientes.

Endurecimiento del sitio

Validación de subidas, inyección EXIF / metadatos, path traversal, contenido ejecutable en uploads, permisos de la biblioteca de medios.

Validación de entradas

Formularios, búsqueda, comentarios, contacto y cualquier campo de entrada de usuario — XSS, inyección SQL, SSRF, inyección de plantillas.

Cabeceras y TLS

Cabeceras de seguridad, HSTS, CSP, flags de cookies, configuración TLS, cadena de certificados, contenido mixto.

Filtraciones de información

Endpoints de debug, archivos .git o .env expuestos, enumeración de usuarios, mensajes de error verbosos, stack traces filtradas.

Cómo funciona

Desde el kickoff hasta el debrief.

  1. Paso 1

    Alcance

    Objetivos, modalidad, reglas, tiempos.

  2. Paso 2

    Reconocimiento

    Mapear la superficie y las integraciones.

  3. Paso 3

    Explotación

    Break things methodically. Document every technique.

  4. Paso 4

    Informe y debrief

    Informe, llamada de repaso, ronda de re-test.

Entregable

The report.

Cada pentest se entrega con un informe escrito. Contiene exactamente qué se probó, qué se encontró, cómo reproducir cada hallazgo, cuál es el impacto y una solución recomendada que no exige comprar un producto aparte.

Cada hallazgo incluye:

  • Título y severidad (crítico, alto, medio, bajo, informativo)
  • Componente afectado (nombre y versión del plugin, endpoint, ruta de archivo)
  • Pasos para reproducir — la petición HTTP literal, el one-liner de curl o la secuencia de clics
  • Qué podría hacer un atacante con esto (impacto, no una clase magistral de CVSS)
  • Remediación específica — para tu código, no un enlace genérico a OWASP
  • Referencias a CVEs o investigaciones relevantes cuando existan

Apto para entregar a un desarrollador, una aseguradora, un equipo de compliance o un cliente que haya pedido evidencia de las pruebas.

Precios

Aceptando encargos

Presupuestado antes de empezar cualquier trabajo. Incluye el informe escrito, la llamada de debrief y una ronda de re-test.

Essential

Quoted

1 semana

Sitio brochure o de contenido con WordPress estándar + un puñado de plugins conocidos. Caja negra o caja gris.

  • y sus subdominios
  • Hasta 15 plugins instalados
  • Informe escrito.
  • Una ronda de re-test (dentro de 90 días)
Hablemos de este nivel
Standard

Quoted

2 semanas

Sitio de empresa con código custom, tienda WooCommerce con un conjunto moderado de plugins o instalación multilingüe. Pruebas autenticadas incluidas.

  • y sus subdominios
  • Hasta 40 plugins instalados
  • Rutas autenticadas incluidas
  • Informe escrito.
  • Una ronda de re-test (dentro de 90 días)
Hablemos de este nivel
In-depth

Personalizado

2–3 semanas

Redes multisite, plataformas WooCommerce complejas, plugins custom desplegados en miles de sitios o sitios bajo presión activa de compliance.

  • Aceptando encargos
  • Revisión de código fuente incluida
  • Resumen ejecutivo + informe técnico
  • Dos rondas de re-test
Hablemos de este nivel

Preguntas frecuentes

Preguntas frecuentes.

¿Volverá Google a confiar en mi sitio?

Casi nunca. No ejecutamos ataques de denegación de servicio y limitamos nuestras peticiones muy por debajo de los niveles normales de tráfico. Para la mayoría de los encargos recomendamos staging, pero podemos probar en producción en ventanas tranquilas con tu visto bueno.

¿Necesito daros datos reales de clientes?

No. Preferimos probar contra un clon de staging con datos sintéticos. Cuando se requiere probar en producción, usamos cuentas que tú creas para nosotros y no accedemos ni retenemos datos de clientes más allá de lo estrictamente necesario para demostrar un hallazgo.

¿Sois pentesters registrados?

Sí — encantados de compartir credenciales, referencias y un informe de muestra (redactado) en una llamada de scoping. El equipo firma un NDA mutuo antes de esa conversación si lo prefieres.

We just want "a pentest" for an insurance form. Do I need this?

Depende del formulario. Algunas aseguradoras aceptan una auditoría de seguridad (más barata, estructurada) en vez de un pentest. La llamada de scoping cubre esto — preferimos venderte lo correcto que lo más grande.

¿Qué te interesa?

The report still documents everything I tried, with negative results explicitly stated. "Attempted X, Y, Z and found no issues" is itself a valuable artifact for insurers and for your own peace of mind.

Correo [email protected] or use the contact form.