Seguridad de empleadospublicos.larioja.gob.ar

[HIGH] WordPress versión expuesta: Se detectó el uso de la versión 6.0.1, lo cual permite a potenciales atacantes identificar vulnerabilidades públicas conocidas (CVEs) para esta versión específica.

[HIGH] Ausencia de Content-Security-Policy: No existe una política de seguridad de contenido, dejando el sitio expuesto a ataques de Cross-Site Scripting (XSS) e inyecciones maliciosas.

[HIGH] Ausencia de X-Frame-Options: La falta de esta cabecera permite que el sitio sea embebido en marcos externos, facilitando ataques de clickjacking.

[HIGH] HSTS no configurado: La cabecera Strict-Transport-Security está ausente, lo que significa que el servidor no obliga al navegador a usar siempre conexiones seguras HTTPS.

[MEDIUM] Presencia de contenido mixto: Se han detectado 3 recursos cargados mediante HTTP dentro de la página protegida por HTTPS, lo que compromete la integridad de la sesión cifrada.

[MEDIUM] Ruta de administración accesible: El panel de login /administrator/ está disponible públicamente, lo que facilita intentos de acceso no autorizado por fuerza bruta.

[MEDIUM] Ausencia de X-Content-Type-Options: El sitio no previene el sniffing de tipos MIME, lo que podría permitir que el navegador ejecute archivos con formatos incorrectos de forma maliciosa.

[MEDIUM] Cabeceras de privacidad ausentes: No se han configurado Referrer-Policy ni Permissions-Policy para controlar la información enviada a terceros o restringir el uso de APIs del navegador.

[LOW] Cabecera de servidor expuesta: El servidor revela el uso de Apache/2.4.58 (Ubuntu), proporcionando información valiosa a atacantes sobre la infraestructura subyacente.

[LOW] Falta de archivo robots.txt: No se encontró este archivo, lo que impide definir reglas claras para los rastreadores web y puede exponer directorios que no deberían indexarse.