Seguridad de omi.edu

[HIGH] Versión de WordPress expuesta: La versión 6.8.5 es visible públicamente, lo que permite a atacantes identificar vulnerabilidades conocidas (CVEs) para dicha versión.

[HIGH] Content-Security-Policy faltante: La ausencia de esta cabecera facilita ataques de inyección de contenido y scripts maliciosos (XSS).

[HIGH] Puerto 21 (FTP) ABIERTO: Este servicio transmite datos y credenciales sin cifrar, siendo un objetivo primario para la interceptación de archivos.

[MEDIUM] Archivo /readme.html accesible: Revela información sobre la instalación del CMS que debería ser privada para evitar el reconocimiento del sistema.

[MEDIUM] Ruta /wp-login.php accesible: El panel de acceso administrativo es público, permitiendo ataques de fuerza bruta contra las cuentas de usuario.

[MEDIUM] Referrer-Policy faltante: No se controla qué información de origen se envía a terceros, lo que podría filtrar datos de navegación.

[MEDIUM] Permissions-Policy faltante: El sitio no restringe el acceso a funciones sensibles del navegador como el micrófono o la cámara.

[MEDIUM] Cookie lp_session_guest sin SameSite: La falta de este atributo hace que la sesión sea vulnerable a ataques de falsificación de peticiones en sitios cruzados (CSRF).

[MEDIUM] Contenido Mixto detectado: El recurso http://omi.aquinas.tech/ se carga de forma insegura, comprometiendo la integridad de la conexión HTTPS.

[MEDIUM] Puerto 22 (SSH) ABIERTO: La exposición del acceso remoto seguro aumenta el riesgo de intentos de acceso no autorizados mediante fuerza bruta.

[LOW] Cabecera Server expuesta: Indica el uso de LiteSpeed, ayudando a los atacantes a perfilar la tecnología del servidor web.

[LOW] Cabecera X-Powered-By expuesta: Revela que el sitio utiliza PHP/8.1.34, proporcionando detalles técnicos innecesarios para el usuario final.

[LOW] Meta generator expuesto: El plugin Site Kit by Google 1.181.0 expone su versión, lo que podría usarse para explotar fallos específicos del complemento.