Можно тут глянуть топ 10 популярных дыр OWASP Top 10 2017 RC
Пройтись акунетикс триалом будет хорошей идеей тк ты будешь примерно знать, где именно у тебя может быть ошибка
У сулфы был пост с методологиями на буржуйском, но я думаю тебе как админу будет впадлу разбираться там

Но по идее, качествый и профессиональный пентест может провести только качественный профессионал

Пошлю ка я вас всего на два сайта:
1) Методология тестирования веб аппликаций OWASP OWASP Testing Guide v4 Table of Contents - OWASP
2)Общепринятая методология тестирования на проникновения , более глобальный пентест который затрагивает и пентест инфраструктуры. PTES Technical Guidelines - The Penetration Testing Execution Standard

Хотя если речь идет о ручном тестировании сайта на предмет уязвизмостей , и вы не хотите тратится на пентест - 1-й методологии вам должно хватить с головой. Только нужно пройти по каждому пункту.

что-бы не смог,надо самому заказать свой сайт на взлом))) тогда точно проверишь так как у всех разные векторы атак и фичи...сам ты не когда все не проверишь на больших ресурсах есть такие разделы на пример на exp да думаю и тут стоит сделать такой раздел тыц..