`wpscan` est l'outil de référence pour auditer un site WordPress : énumération de la version core, des plugins et thèmes vulnérables, des utilisateurs, ainsi qu'attaque de mots de passe via l'API XML-RPC.
Enumération:
```bash
wpscan --enumeration --url http://$url
```
Login bruteforce:
```bash
wpscan --password-attack xmlrpc -t 20 -U john -P /usr/share/wordlists/rockyou.txt --url http://$url
```