Seguridad de versia.com

[HIGH] WordPress version: La version 4.9.10 detectada esta totalmente obsoleta y permite a atacantes explotar multiples CVEs conocidos para comprometer el sitio.

[HIGH] Content-Security-Policy: La ausencia de esta cabecera facilita la ejecucion de ataques de Cross-Site Scripting (XSS) e inyeccion de contenido malicioso.

[HIGH] X-Frame-Options: La falta de esta configuracion deja el sitio desprotegido frente a ataques de clickjacking que pueden engañar a los usuarios.

[HIGH] Strict-Transport-Security: No se ha configurado HSTS, lo que impide que el navegador fuerce conexiones HTTPS y permite ataques de degradacion de seguridad.

[HIGH] Cookie HttpOnly: La cookie cookielawinfo-checkbox-necessary es accesible via scripts, aumentando el riesgo de robo de sesion en caso de una vulnerabilidad XSS.

[HIGH] Cookie Secure: La cookie mencionada carece del flag Secure, lo que significa que puede ser transmitida a traves de conexiones HTTP no cifradas.

[MEDIUM] X-Content-Type-Options: Al faltar esta cabecera, el sitio es vulnerable a ataques de MIME-type sniffing para ejecutar archivos con contenido inesperado.

[MEDIUM] Referrer-Policy: No existe una politica que controle que informacion de referencia se comparte con terceros al navegar por los enlaces.

[MEDIUM] Permissions-Policy: El sitio no restringe el acceso a APIs sensibles del navegador como la camara, el microfono o la geolocalizacion.

[MEDIUM] Cookie SameSite: La ausencia de este atributo en las cookies incrementa la superficie de ataque para ejecuciones de Cross-Site Request Forgery (CSRF).

[MEDIUM] Archivo /readme.html: Este archivo es accesible publicamente y revela informacion tecnica sobre la instalacion del CMS que facilita el reconocimiento externo.

[LOW] SSL/TLS Expiration: El certificado de seguridad caduca en 25 dias, lo que podria provocar la interrupcion del servicio y alertas de seguridad en breve.

[LOW] Server header expuesto: La cabecera revela el uso de Apache/2.4.6 sobre CentOS y OpenSSL/1.0.2k, informacion valiosa para buscar exploits especificos del servidor.

[LOW] X-Powered-By expuesto: Se confirma el uso de PHP/7.2.34, permitiendo a un atacante conocer la tecnologia exacta de ejecucion del lado del servidor.

[LOW] Meta generator: La etiqueta meta expone publicamente el uso de WordPress 4.9.10 en el codigo fuente.

[LOW] Ruta sensible en robots.txt: El archivo incluye una referencia directa al directorio de administracion, orientando a posibles atacantes sobre la estructura interna.