Добрый день.
Так как тут явно будет использоваться ad-hoc тестирование (никаких доков к сайту нет, все тесты будут основываться на предыдущем опыте и знаниях, и интуиции), то я бы поступил так:
1. сначала бы ознакомился с сайтом со стороны незалогиненного пользователя + выписал бы себе список функционала, доступного для такого пользователя;
2. зарегистрировался и походил бы по внутренним страницам сайта + аналогично пункту 1 выписал бы себе список функционала, доступного для залогиненного пользователя.
В случае, если бы пункт 2 оказался невыполнимым, то на основе списка функционала из списка пункта 1, провел бы тестирование только со стороны незалогиненного пользователя.
В случае, если пункт 2 выполним, то я бы имел наиболее полный для меня список текущего функционала сайта, на основе которого я бы в первую очередь набросал себе тесты для позитивного тестирования, а затем для негативного. Далее я бы выполнил полученные тесты, параллельно обращая внимание на юзабилити сайта и отмечая проблемные в юзабилити моменты.
Затем я бы зарегистрировал еще одного пользователя, сделал бы им пару заказов и провел бы простое тестирование безопасности, чтобы убедиться, что пользователи не могут получить доступ к данным друг друга.
Что подразумевается под "пункт 2 оказался невыполним" ?
В данном случае получается, что функционал зарегистрированного пользователя от незарегистрированного отличается тем, что при формировании заказа не нужно вводить никаких данных, т.к. адрес, фио и т.д. автоматически подставляются в форму заказа из пользовательской учетной записи. В случае незареганного пользователя есть выбор: либо залогиниться, либо ввести вручную все необходимые данные.