Website pemerintah Kota XYZ menyediakan layanan informasi publik dan administrasi, namun keterbukaan akses meningkatkan risiko serangan siber. Penelitian ini bertujuan menganalisis kelemahan keamanan website tersebut menggunakan pendekatan black box dengan alur Penetration Testing Execution Standard (PTES) dari Pre-engagement Interactions hingga Reporting. Intellegence Gathering dilakukan melalui identifikasi teknologi dan resolusi domain, kemudian Vulnerability Analysis dilakukan pada konfigurasi server dan komponen WordPress menggunakan pemindaian terarah. Tahap eksploitasi dilakukan secara terkendali meliputi uji SQL injection, uji flood untuk menilai ketahanan layanan, uji brute force langsung terhadap website, dan uji clickjacking berbasis iframe, tanpa tindakan destruktif dan dengan menjaga ketersediaan layanan. Hasil menunjukkan SQL injection tidak terkonfirmasi, uji flood menyebabkan alamat penguji dibatasi oleh sistem, tetapi layanan tetap dapat diakses secara normal oleh pengguna lain, dan brute force tidak menghasilkan sesi tidak sah serta menunjukkan pembatasan percobaan. Temuan paling signifikan adalah clickjacking berhasil karena kontrol anti framing belum efektif, sehingga disarankan penerapan header anti framing, penguatan kontrol autentikasi, dan evaluasi ulang setelah perbaikan.