Есть white hat, есть black hat. Есть аудит от брендовых компаний вроде positive или groupib. Это всё, разумеется, и стоит немало, и зависит от объёмов работы и целей.
Если у тебя один простой сайт самописный, то относительно просто. А если целая CMS или большая инфраструктура, то и сложность, и время возрастут. И не очень понятно, что ты хочешь получить: бумажку, что у тебя всё хорошо, или до победного мучать хакера, чтобы он нашёл уязвимость в тех местах, в которых ты сомневаешься :)
В любом случае, посмотри в сторону сканеров безопасности вроде acunetix.com или metascan.ru, они делают то же самое, роют только по базовым знаниям, но автоматически. Это и быстрее, и дешевле.
Средний
