Seguridad de clinicachinita.com

[CRITICAL] Puerto 3306 (MySQL) abierto: La base de datos está expuesta directamente a internet, permitiendo ataques de fuerza bruta y acceso no autorizado a información sensible.

[HIGH] Ausencia de Content-Security-Policy: No existe una política que restrinja el origen del contenido, facilitando ataques de inyección de código y XSS.

[HIGH] Ausencia de X-Frame-Options: El sitio es vulnerable a ataques de clickjacking al permitir que sea cargado dentro de marcos en sitios externos no autorizados.

[HIGH] Falta de Strict-Transport-Security (HSTS): El servidor no obliga a los navegadores a usar conexiones cifradas, permitiendo posibles ataques de degradación de protocolo.

[HIGH] Cookie de sesión sin flag Secure: La cookie clinica_panamericana_session puede ser transmitida por canales no cifrados, arriesgando el robo de sesiones de usuario.

[HIGH] Puerto 21 (FTP) abierto: El servicio de transferencia de archivos está activo y es propenso a la interceptación de credenciales en texto plano.

[MEDIUM] Ausencia de SameSite en cookies: La falta de este atributo en las cookies de sesión hace que el sitio sea vulnerable a ataques de falsificación de petición en sitios cruzados (CSRF).

[MEDIUM] Contenido mixto detectado: Existen recursos cargados mediante HTTP inseguro dentro de la página HTTPS, lo que debilita la integridad general del cifrado.

[MEDIUM] Rutas de administración expuestas: Los paneles de acceso en /wp-login.php, /administrator/ y /user/login son accesibles públicamente para cualquier atacante.

[MEDIUM] Puerto 22 (SSH) abierto: El servicio de acceso remoto está expuesto, aumentando la superficie de ataque para intentos de ingreso al sistema operativo del servidor.

[MEDIUM] Archivos informativos expuestos: Los archivos /readme.html y /README.txt son públicos y pueden revelar detalles técnicos internos del CMS WordPress.

[MEDIUM] Ausencia de X-Content-Type-Options: Permite que el navegador intente adivinar el tipo de contenido, lo que puede derivar en la ejecución de scripts maliciosos disfrazados.

[MEDIUM] Ausencia de Referrer-Policy y Permissions-Policy: No se controla la información de procedencia enviada a terceros ni se restringen las funciones sensibles del navegador.

[WARN] Falta de archivo robots.txt: No se proporcionan instrucciones de rastreo a los motores de búsqueda, dificultando la gestión de la visibilidad del sitio.

[LOW] Cabecera Server expuesta: El servidor informa que utiliza Apache, facilitando a los atacantes la búsqueda de vulnerabilidades específicas para esa tecnología.

[LOW] Cabecera X-Powered-By expuesta: Se revela el uso de PHP/7.4.33, exponiendo la versión exacta del lenguaje de programación utilizado.