Seguridad de grupoacb.com

[HIGH] Content-Security-Policy: La ausencia de esta cabecera permite la ejecución de scripts no autorizados y ataques de inyección de contenido XSS.

[HIGH] X-Frame-Options: La falta de esta política hace que el sitio sea susceptible a ataques de clickjacking mediante el uso de marcos.

[HIGH] Strict-Transport-Security: No se implementa HSTS, lo que impide forzar conexiones cifradas y facilita ataques de degradación de protocolo.

[HIGH] WordPress version: La exposición de la versión 6.9.4 permite a atacantes identificar y explotar CVEs específicos ya documentados.

[MEDIUM] X-Content-Type-Options: Al no estar configurada, el navegador puede intentar interpretar archivos de forma incorrecta mediante MIME-type sniffing.

[MEDIUM] Referrer-Policy: No se controla qué información de procedencia se envía a terceros, comprometiendo potencialmente la privacidad de la navegación.

[MEDIUM] Permissions-Policy: El sitio no restringe el acceso a APIs del navegador como la cámara, el micrófono o la geolocalización.

[MEDIUM] Cookie __wpdm_client: La falta del atributo SameSite en esta cookie de WordPress Download Manager aumenta el riesgo de ataques Cross-Site Request Forgery.

[MEDIUM] Archivo /readme.html: Este archivo es accesible de forma pública y revela detalles sobre la instalación y versión del CMS.

[MEDIUM] Ruta /wp-login.php: El acceso directo al panel de administración facilita intentos de intrusión mediante ataques de fuerza bruta.

[LOW] Server header expuesto: El servidor responde con la cabecera Apache, revelando la tecnología subyacente y facilitando el reconocimiento.

[LOW] Meta generator: La etiqueta meta en el código fuente confirma el uso de versiones antiguas de WordPress, asistiendo en la fase de enumeración del atacante.