Seguridad de testprep.amhealthinstitute.com

[CRITICAL] Puerto 3306 (MySQL) abierto: La base de datos está expuesta directamente a internet, permitiendo intentos de acceso no autorizados y ataques de fuerza bruta.

[CRITICAL] Puerto 5432 (PostgreSQL) abierto: Exposición de la base de datos PostgreSQL, lo que aumenta drásticamente el riesgo de exfiltración de información sensible.

[HIGH] Versión de WordPress 4.5.2 expuesta: El uso de una versión obsoleta facilita ataques dirigidos mediante vulnerabilidades conocidas (CVEs) que ya han sido parcheadas en versiones actuales.

[HIGH] Puerto 21 (FTP) abierto: Este servicio de transferencia de archivos sin cifrar es susceptible a la interceptación de credenciales y datos en tránsito.

[HIGH] Content-Security-Policy (CSP) ausente: La falta de esta cabecera permite la ejecución de ataques de cross-site scripting (XSS) e inyección de contenido.

[HIGH] X-Frame-Options ausente: La carencia de esta protección hace al sitio vulnerable a ataques de clickjacking para engañar a los usuarios finales.

[MEDIUM] Archivo /readme.html accesible: Este archivo revela información técnica sobre el CMS que asiste a los atacantes en la fase de reconocimiento de la infraestructura.

[MEDIUM] Ruta /wp-login.php expuesta: El panel de administración es accesible públicamente, lo que facilita ataques coordinados de fuerza bruta contra las cuentas de gestión.

[MEDIUM] HSTS max-age insuficiente: La política de transporte estricto está configurada por solo 30 días, incumpliendo el estándar recomendado de al menos 180 días.

[LOW] Cabecera de servidor expuesta: El servidor revela el uso de nginx, proporcionando pistas innecesarias sobre la tecnología de la infraestructura subyacente.

[LOW] Meta generator expuesto: La etiqueta meta revela versiones de plugins activos como All in One SEO 4.9.8, facilitando el perfilado del sitio.

[LOW] Ruta sensible en robots.txt: Se hace referencia directa a directorios como "admin", orientando a posibles atacantes hacia zonas que deberían ser restringidas.