Per una valutazione a livello di applicazione, inizierei con gli ovvi strumenti specifici per tale applicazione, come WPScan (che hai menzionato). Oltre ai risultati ottenuti, vorrei esaminare i tuoi obiettivi, gli obiettivi, l'accesso e la probabilità di trovare tipi di vulnerabilità.
- Il core di Wordpress è relativamente ben consolidato oggi. È improbabile che tu abbia dei risultati lì.
- I plugin Wordpress sono un potenziale pozzo nero. Molti di loro non hanno manutenzione e sono stati scritti dalle persone come uno dei loro primi progetti di programmazione. Guarda le interfacce che forniscono.
- I temi personalizzati, dal momento che possono contenere PHP, sono particolarmente una fonte di vulnerabilità, incluso XSS. Guarda da vicino se il tuo amico ha un tema personalizzato.
Userò soprattutto Burp Suite nella valutazione di queste aree. Se hai motivo di credere che SQLi esista, prendi in considerazione anche sqlmap.
Non mi preoccuperei affatto di provare le credenziali di forza bruta - qual è il punto? Se vuoi controllare se le password sono forti, potrebbe scaricare il database delle password e fare un attacco offline con JTR o Hashcat, ma se il numero di utenti è piccolo, basta che abbiano buone password. :)