Hoe lang duurt een pentest?

Een typische webapplicatie pentest duurt 5 tot 15 werkdagen afhankelijk van de scope, plus 2 tot 5 dagen voor rapportage. Een kleine WordPress site kan in 3 tot 5 dagen, een enterprise app kan 4 tot 8 weken duren.

Wat kost een pentest?

In 2025 kost een gerichte webapplicatie pentest 5.000 tot 25.000 EUR voor MKB en 30.000 tot 150.000 EUR voor enterprise. Continuous Pentest as a Service start rond 800 tot 2.000 EUR per maand.

Wat is Penetration Testing?

Q: Wat is penetration testing?

Penetration testing (pentest) is een geautoriseerde gesimuleerde aanval op een systeem, applicatie of netwerk uitgevoerd door ethische hackers om beveiligingszwakheden te vinden voordat echte aanvallers dat doen. Het combineert geautomatiseerd scannen met handmatige exploitatie en levert een geschreven rapport met bevindingen, ernst en herstelstappen.

Penetration testing (pentesting, ethical hacking) is een geautoriseerde, gesimuleerde cyberaanval op een systeem, applicatie, API of netwerk. Doel is zwakheden vinden (kwetsbaarheden, misconfiguraties, ontwerpfouten) voordat kwaadwillende aanvallers ze misbruiken. De pentester volgt een gestructureerde methodologie van scannen, handmatige exploitatie, post exploitatie en rapportage. De output is een geschreven rapport met elke bevinding op ernst beoordeeld (Critical, High, Medium, Low, Informational) met reproductiestappen, screenshots, business impact en aanbevolen oplossing. Verplicht in PCI DSS 11.4 (jaarlijks), ISO 27001:2022 A.8.29, NIS2 artikel 21, HIPAA, SOC 2 en DORA artikel 26 sinds 17 januari 2025. Prijzen 2025: 5.000 tot 25.000 EUR MKB, 30.000 tot 150.000 EUR enterprise, PTaaS vanaf 800 tot 2.000 EUR per maand.

Pentest vs vulnerability scan

Aspect	Scan	Pentest
Automatisering	Volledig	Vooral handmatig
Diepte	Oppervlak	Geketende exploitatie
False positives	Hoog	Laag
Exploitatie	Geen	Echt
Duur	Minuten tot uren	Dagen tot weken
Kosten	Laag	Vanaf 5.000 EUR
Frequentie	Wekelijks	Jaarlijks

Types pentest

Web applicatie.
API (OWASP API Top 10 2023).
Mobile.
Netwerk en infrastructuur.
Cloud (AWS, Azure, GCP).
Wireless.
Social engineering en phishing.
Red Team.
Purple Team.
IoT en embedded.

Kennismodellen

Black box.
Grey box.
White box.

Methodologie

Scope en rules of engagement.
Reconnaissance.
Threat modeling.
Identificatie (Burp Suite Pro, Acunetix, Nuclei, Nessus).
Exploitatie (Metasploit, sqlmap, hashcat, BloodHound).
Post exploitatie.
Rapportage CVSS 3.1 of 4.0.
Herstel en retest.

Standaarden

OWASP WSTG 4.2.
OWASP API Top 10 2023.
PTES.
NIST SP 800 115.
OSSTMM.
MITRE ATT&CK.
PCI DSS 11.4.
TIBER-EU.

Tools

Burp Suite.
OWASP ZAP.
Metasploit.
Nmap.
sqlmap.
Nuclei.
hashcat.
BloodHound.
Kali Linux, Parrot OS.
Cobalt Strike.
WPScan.

Certificeringen

OSCP, OSCE3.
CRTO / CRTL.
CREST CRT en CCT.
PNPT.
GPEN, GWAPT, GXPN.
CEH.

WordPress pentest

Plugin en theme CVEs (WPScan).
REST API zonder auth.
XML-RPC.
Author enumeration.
Backup bestanden in webroot.
Kwetsbare uploads.
SQLi in custom plugins/themes.
Stored XSS.
Geen 2FA en geen CSRF nonces.
Zwakke wachtwoorden.

Voorbereiding

Scope bepalen.
Testaccounts per rol.
Staging isoleren.
SOC, IT, hoster en WAF informeren.
Bekende issues documenteren.
Communicatiekanaal.
Budget voor retest.

Bug Bounty

HackerOne, Bugcrowd, Intigriti, YesWeHack, Open Bug Bounty. Aanvulling, geen vervanging.

Hoe past InspectWP?

InspectWP automatiseert reconnaissance en oppervlakanalyse.

Wat is Penetration Testing?

Pentest vs vulnerability scan

Types pentest

Kennismodellen

Methodologie

Standaarden

Tools

Certificeringen

WordPress pentest

Voorbereiding

Bug Bounty

Hoe past InspectWP?

Wat is Interaction to Next Paint (INP)?

Wat zijn AVIF en WebP vergeleken?

Gerelateerde artikelen

Wat zijn HTTP/2 en HTTP/3? Een praktische gids voor WordPress-sites

Wat zijn WordPress custom post types?

Wat is een WordPress block theme (Full Site Editing)?

Controleer nu uw WordPress-site