threatover Patrik Grobshäuser
Test d'intrusion

Penetration testing.

An adversarial, manual test of your WordPress site, authenticated and unauthenticated, within agreed rules.

Discuter d’un pentest Que se passe-t-il ?

1 à 3 semaines  ·  Missions acceptées  ·  une passe de retest incluse

Ce que nous en faisons

Adversarial test.

Un test d'intrusion n'est pas un passage de scanner. C'est une mission ciblée et bornée dans le temps où quelqu'un ayant la compétence et l'intention de compromettre votre site essaie de compromettre votre site — dans le cadre de règles convenues — et documente exactement ce qui a fonctionné.

Nous avons nettoyé beaucoup de sites WordPress. Cette expérience nous dit où pousser en premier : plugins obsolètes, politiques de mot de passe admin faibles, XML-RPC exposé, parcours de checkout WooCommerce fragiles, code custom ajouté à la hâte.

Trois variantes

  • Black-box

    No prior access. I'm treated like any internet visitor. Best for measuring "how exposed are we from outside?"

  • Grey-box

    Compte peu privilégié (abonné, contributeur, client WooCommerce). Idéal pour mesurer l'impact d'un compte utilisateur compromis.

  • Authentifié

    Accès admin ou éditeur fourni. Idéal lorsque le rôle lui-même peut causer des dégâts (la plupart des installations avec des permissions de plugin étendues).

Couverture du périmètre

Ce que nous collectons

Chaque pentest est cadré sur votre site spécifique. Les catégories ci-dessous sont la surface par défaut — nous ajoutons ou retirons selon ce que vous exécutez réellement.

Autorisation

Flux de connexion, réinitialisation de mot de passe, implémentation 2FA, protection contre la brute-force, gestion des sessions, séparation des rôles.

Plugins et thèmes

Versions connues comme vulnérables, plugins custom, plugins premium, plugins abandonnés toujours installés mais désactivés.

Permissions

Ce qu'un abonné, contributeur, auteur et éditeur peut réellement faire — y compris les chemins d'élévation de privilèges entre rôles.

Surface API

Endpoints REST API, XML-RPC, handlers AJAX, routes API custom, et tout GraphQL exposé par des plugins.

WooCommerce

Checkout, panier, parcours de compte, logique de coupons, intégration de passerelle de paiement, exposition des données clients.

Durcissement du site

Validation des uploads, injection EXIF / métadonnées, path traversal, contenu exécutable dans les uploads, permissions de la bibliothèque de médias.

Validation des entrées

Formulaires, recherche, commentaires, contact et tout champ de saisie utilisateur — XSS, injection SQL, SSRF, injection de template.

En-têtes et TLS

En-têtes de sécurité, HSTS, CSP, flags de cookies, configuration TLS, chaîne de certificats, contenu mixte.

Fuite d'informations

Endpoints de debug, fichiers .git ou .env exposés, énumération d'utilisateurs, messages d'erreur verbeux, stack traces qui fuient.

Comment ça marche

Du démarrage au débrief.

  1. Étape 1

    Périmètre

    Cibles, variante, règles, calendrier.

  2. Étape 2

    Reconnaissance

    Cartographier la surface et les intégrations.

  3. Étape 3

    Exploitation

    Break things methodically. Document every technique.

  4. Étape 4

    Rapport et débrief

    Rapport, appel de présentation, passe de retest.

Livrable

The report.

Chaque pentest est livré avec un rapport écrit. Il contient exactement ce qui a été testé, ce qui a été trouvé, comment reproduire chaque constat, l'impact et un correctif recommandé qui ne nécessite pas l'achat d'un produit séparé.

Chaque constat inclut :

  • Titre et gravité (critique, élevée, moyenne, faible, informative)
  • Composant affecté (nom et version du plugin, endpoint, chemin de fichier)
  • Étapes de reproduction — la requête HTTP littérale, le one-liner curl, ou le parcours de clics
  • Ce qu'un attaquant pourrait en faire (impact, pas un cours sur CVSS)
  • Remédiation spécifique — pour votre codebase, pas un lien OWASP générique
  • Références aux CVE pertinents ou aux recherches lorsqu'ils existent

Adapté pour être remis à un développeur, un assureur, une équipe de conformité ou un client qui a demandé une preuve de test.

Tarifs

Missions acceptées

Devisé avant tout démarrage. Inclut le rapport écrit, l'appel de débrief et une passe de retest.

Essentiel

Quoted

1 semaine

Site vitrine ou de contenu sur WordPress standard + une poignée de plugins bien connus. Black ou grey-box.

  • et ses sous-domaines
  • Jusqu'à 15 plugins installés
  • Rapport écrit.
  • Une passe de retest (dans les 90 jours)
Discuter de ce palier
Standard

Quoted

2 semaines

Site d'entreprise avec du code custom, boutique WooCommerce avec un jeu de plugins modéré, ou installation multilingue. Tests authentifiés inclus.

  • et ses sous-domaines
  • Jusqu'à 40 plugins installés
  • Parcours authentifiés inclus
  • Rapport écrit.
  • Une passe de retest (dans les 90 jours)
Discuter de ce palier
Approfondi

Sur mesure

2 à 3 semaines

Réseaux multisite, plateformes WooCommerce complexes, plugins custom déployés sur des milliers de sites, ou sites sous pression active de conformité.

  • Missions acceptées
  • Revue de code source incluse
  • Résumé exécutif + rapport technique
  • Deux passes de retest
Discuter de ce palier

Questions fréquentes

Questions fréquentes.

Google fera-t-il à nouveau confiance à mon site ?

Presque jamais. Nous ne lançons pas d'attaques par déni de service, et nous bridons nos requêtes bien en dessous des niveaux de trafic normaux. Pour la plupart des missions, nous recommandons le staging, mais nous pouvons tester en production sur des fenêtres calmes avec votre accord.

Dois-je vous donner des données clients réelles ?

Non. Nous préférons tester contre un clone de staging avec des données synthétiques. Lorsque les tests en production sont requis, nous utilisons des comptes que vous créez pour nous, et nous n'accédons ni ne conservons les données clients au-delà de ce qui est strictement nécessaire pour démontrer un constat.

Êtes-vous un testeur d'intrusion enregistré ?

Oui — nous partageons volontiers nos qualifications, références et un exemple de rapport (caviardé) lors d'un appel de cadrage. L'équipe signera un NDA mutuel avant cette conversation si vous le souhaitez.

We just want "a pentest" for an insurance form. Do I need this?

Cela dépend du formulaire. Certains assureurs acceptent un audit de sécurité (moins cher, structuré) plutôt qu'un pentest. L'appel de cadrage couvre cela — nous préférons vous vendre la bonne chose plutôt que la plus grosse.

Qu'est-ce qui vous intéresse ?

The report still documents everything I tried, with negative results explicitly stated. "Attempted X, Y, Z and found no issues" is itself a valuable artifact for insurers and for your own peace of mind.

E-mail [email protected] or use the contact form.