Seguridad de hecoma.com

[HIGH] WordPress version: Version 6.9.4 expuesta publicamente — Permite a atacantes buscar y explotar CVEs conocidos para esta version especifica.

[HIGH] Content-Security-Policy: Falta — Deja el sitio desprotegido contra ataques de Cross-Site Scripting (XSS) e inyeccion de contenido malicioso.

[HIGH] X-Frame-Options: Falta — El sitio es susceptible a ataques de clickjacking al permitir ser cargado en iframes externos.

[HIGH] Strict-Transport-Security: Falta — No se obliga al navegador a usar conexiones HTTPS, facilitando ataques de degradacion de SSL (Man-in-the-Middle).

[HIGH] Puerto 21 (FTP): ABIERTO — El uso de FTP implica la transferencia de archivos y credenciales en texto plano, lo cual es altamente inseguro.

[MEDIUM] X-Content-Type-Options: Falta — Permite que el navegador intente adivinar el tipo de contenido, lo que puede derivar en la ejecucion de scripts inesperados.

[MEDIUM] Referrer-Policy: Falta — No se controla la informacion de navegacion que se envia a otros sitios web mediante el encabezado Referer.

[MEDIUM] Permissions-Policy: Falta — No se restringe el acceso del navegador a funciones sensibles como la camara, el microfono o la geolocalizacion.

[MEDIUM] Puerto 22 (SSH): ABIERTO — Aunque es un protocolo seguro, tenerlo expuesto publicamente invita a ataques de fuerza bruta contra el servidor.

[LOW] Server header expuesto: Server: nginx — Revela la tecnologia del servidor, ayudando a los atacantes a perfilar mejor sus vectores de ataque.

[LOW] X-Powered-By expuesto: X-Powered-By: PHP/8.3.30, PleskLin — Expone las versiones exactas del lenguaje y panel de control utilizados.

[LOW] Meta generator: WordPress 6.9.4 — Confirma la version del CMS directamente en el codigo fuente del sitio.

[LOW] Ruta sensible en robots.txt: Referencia a "admin" — Facilita a usuarios malintencionados la identificacion de directorios de gestion interna.