02. Сканування
Здійснюємо динамічне (DAST) й статичне (SAST) сканування сайту. Скануємо код, посилання, компоненти, модулі, плагіни, бібліотеки, сервіси. Скануємо сервер з допомогою утиліт. Перевіряємо та сортуємо файли різних розширень: виконувані (sh, php, py, exe, bat, rb, pl), службові (ini, inc, so, cfg, cgi, asp), розмітки (json, yml, html, htm, xml, shtml), стилі і скрипти (css, js), текстові (txt, rtf), документи (pdf, doc, xlsx, odt), архіви (tar, rar, zip, gz), зображення (ico, img, gif, png, bmp, webp), аудіо та відео, нестандартні (phtml, php.jpg, php3, php7 та ін.). Уважно обстежуємо файли конфігурації (index.php, header.php, footer.php, 404.php, view.php, htaccess, wp-settings, wp-admin, wp-includes, wp-config.php, wp-load.php, wp-blog-header.php, functions.php, robots.txt, sitemap.xml), log-файли (access.log, error.log). Перевіряємо задачі планувальника cron. Фіксуємо наявність будь-яких змін, запитів, директив в системі. Скануємо облікові записи і перевіряємо права доступу на запис/читання (file permissions, chmod, chown). Окремо перевіряємо MySQL базу даних. Додатково зв'язуємося з хостинг-провайдером та обґрунтовуємо, щоб він провів у себе антивірусну перевірку на серверах.