Para una evaluación de ámbito de aplicación, comenzaría con las herramientas obvias que son específicas de esa aplicación, como WPScan (que usted mencionó). Más allá de los hallazgos allí, vería sus metas, objetivos, acceso y probabilidad de encontrar tipos de vulnerabilidades.
- El núcleo de Wordpress está relativamente bien endurecido hoy. Es poco probable que tengas resultados allí.
- Los complementos de Wordpress son un potencial cesspool. Muchos de ellos no tienen mantenimiento y fueron escritos por personas como uno de sus primeros proyectos de programación. Mire las interfaces que estos proporcionan.
- Los temas personalizados, ya que pueden contener PHP, son particularmente una fuente de vulnerabilidades, incluido XSS. Mire de cerca si su amigo tiene un tema personalizado.
Utilizaría principalmente Burp Suite en la evaluación de estas áreas. Si tiene razones para creer que SQLi existe, considere también sqlmap.
No me molestaría en tratar de utilizar las credenciales de fuerza bruta en absoluto. ¿Cuál es el punto? Si desea comprobar si las contraseñas son seguras, podría volcar la base de datos de contraseñas y realizar un ataque fuera de línea con JTR o Hashcat, pero si el número de usuarios es pequeño, simplemente haga que tengan buenas contraseñas. :)