Seguridad de techihuahua.org.mx

[HIGH] Content-Security-Policy: La ausencia de esta cabecera permite la ejecución de scripts no autorizados y ataques de inyección de contenido.

[HIGH] Strict-Transport-Security: No se fuerza el uso de HTTPS mediante HSTS, permitiendo que las conexiones sean degradadas a canales inseguros.

[HIGH] Cookie PHPSESSID (Flag Secure): La cookie de sesión se envía sin cifrado, lo que facilita su interceptación en redes Wi-Fi públicas o comprometidas.

[HIGH] Cookie sc_actual_lang_teechexp (Flag HttpOnly/Secure): Al carecer de estos atributos, la cookie puede ser robada mediante scripts maliciosos o tráfico no cifrado.

[HIGH] Cookie PHPSESSID_ (Flag HttpOnly/Secure): La falta de protección en esta cookie de sesión expone la identidad del usuario ante ataques XSS y de red.

[MEDIUM] X-Content-Type-Options: La falta de esta cabecera permite al navegador adivinar el tipo de contenido, facilitando la ejecución de archivos maliciosos disfrazados.

[MEDIUM] Cookies (Flag SameSite): Las cookies de sesión carecen del atributo para prevenir ataques de falsificación de petición en sitios cruzados (CSRF).

[MEDIUM] Referrer-Policy: No se controla la información de procedencia enviada a enlaces externos, lo que puede filtrar direcciones URL internas sensibles.

[MEDIUM] Permissions-Policy: El sitio no restringe el acceso a funciones del navegador como la cámara o el micrófono, aumentando la superficie de riesgo.

[MEDIUM] Acceso a panel de login: La ruta /wp-login.php es accesible públicamente, lo que invita a ataques de fuerza bruta contra las credenciales.

[LOW] Cabecera Server expuesta: Se revela que el servidor utiliza Apache, proporcionando información valiosa para que un atacante busque exploits específicos.

[LOW] Divulgación en robots.txt: El archivo menciona una ruta administrativa, orientando a posibles atacantes sobre la ubicación de áreas sensibles del sistema.