Seguridad de tecopesca.com

[HIGH] Exposición de versión de WordPress: Se detectó la versión 6.9.4 expuesta públicamente, lo que facilita a atacantes la búsqueda de vulnerabilidades conocidas (CVEs) para tomar control del sitio.

[HIGH] Cookie PHPSESSID sin flag HttpOnly: La cookie de sesión es accesible a través de scripts, aumentando drásticamente el riesgo de robo de identidad mediante ataques XSS.

[HIGH] Cookie PHPSESSID sin flag Secure: El identificador de sesión puede ser enviado a través de conexiones no cifradas, permitiendo su interceptación en la red.

[HIGH] Cookie yith_ywraq_session sin flag HttpOnly: Esta cookie de sesión de plugin es vulnerable a lectura por scripts maliciosos.

[HIGH] Cookie yith_ywraq_session sin flag Secure: Carece de protección para asegurar que solo se transmita por canales HTTPS.

[MEDIUM] Falta de atributo SameSite en cookies: Tanto la sesión de PHP como las de WooCommerce y YITH carecen de este flag, lo que hace al sitio vulnerable a ataques de falsificación de solicitudes en sitios cruzados (CSRF).

[MEDIUM] Archivo readme.html accesible: Este archivo está disponible públicamente y puede revelar detalles técnicos internos del CMS a posibles atacantes.

[MEDIUM] Panel de administración expuesto: La ruta /wp-login.php es accesible, lo que permite ataques de fuerza bruta contra las credenciales de los administradores.

[MEDIUM] Contenido mixto: Se detectaron 4 recursos cargados mediante HTTP en una página HTTPS, lo que debilita la integridad de la conexión segura.

[LOW] Cabecera Server expuesta: El servidor revela que utiliza Apache, información técnica que ayuda a un atacante a perfilar el objetivo.

[LOW] Meta generator expuesto: Se detectó la versión 4.9.4.1 de All in One SEO, revelando componentes específicos del sitio.

[LOW] Ruta sensible en robots.txt: El archivo menciona directorios administrativos, lo que orienta a los atacantes hacia áreas restringidas.