Я недавно начал ставить тестовый стенд с помощью Docker — просто копирую сайт и базу, чтобы не трогать продакшен. Для проверки юзаю OWASP ZAP и иногда SQLMap, чтобы быстро посмотреть, нет ли явных дырок. Вроде помогает ловить простые моменты и не бояться ломать что-то на реальном сервере. Главное — всегда иметь свежий бэкап, чтобы потом быстро вернуться к работе.