Seguridad de estamosensanjose.gruposanjose.biz

[CRITICAL] Puerto 3306 (MySQL) ABIERTO: Permite el acceso directo a la base de datos desde internet, aumentando el riesgo de ataques de fuerza bruta o exfiltración de datos.

[HIGH] Puerto 21 (FTP) ABIERTO: Servicio de transferencia de archivos sin cifrado, lo que permite la interceptación de credenciales en tránsito.

[HIGH] WordPress versión 3.7.1 expuesta: El uso de versiones obsoletas permite a atacantes explotar múltiples vulnerabilidades conocidas (CVEs) ya parcheadas en versiones modernas.

[MEDIUM] X-Content-Type-Options ausente: La falta de esta cabecera permite el MIME-type sniffing, facilitando la ejecución de scripts maliciosos disfrazados de otros archivos.

[MEDIUM] Permissions-Policy ausente: No se restringen las APIs del navegador, permitiendo potencialmente el uso no autorizado de la cámara, micrófono o geolocalización.

[MEDIUM] Archivo /readme.html y /README.txt accesibles: Estos archivos revelan información técnica detallada y confirman la versión del CMS a posibles atacantes.

[MEDIUM] Ruta /wp-login.php accesible: El panel de administración está expuesto, facilitando ataques de diccionario o fuerza bruta contra las cuentas de usuario.

[MEDIUM] Cookie wordpress_test_cookie sin SameSite: La ausencia de este atributo hace que el sitio sea susceptible a ataques de falsificación de petición en sitios cruzados (CSRF).

[LOW] Cabecera Server expuesta (LiteSpeed): Revela la tecnología específica del servidor web, reduciendo el esfuerzo de reconocimiento para un atacante.

[LOW] Cabecera X-Powered-By expuesta: Muestra versiones de PHP/8.3.30 y PleskLin, proporcionando datos adicionales para buscar vectores de ataque específicos.

[LOW] Ruta sensible en robots.txt: La referencia directa a "admin" indica a los motores de búsqueda y atacantes la ubicación de directorios privados.