Alta
Panel administrativo /administrator/ accesible en mail.corpomojana.gov.co
Categoría
Panel administrativo expuesto
Confianza
verified
Observado
2026-04-30
OWASP
A07:2021 — Identification and Authentication Failures
Resumen
GET https://mail.corpomojana.gov.co/administrator/ retorna HTTP 200 con un formulario de login.
Por qué importa
Los paneles administrativos publicamente accesibles son objetivo prioritario de bruteforce y exploits especificos del CMS. Buena practica: restringir acceso por IP o exigir VPN.
Evidencia (URL observada)
https://mail.corpomojana.gov.co/administrator/Verificable con `curl -I` o navegador. La metodología es 100% pasiva — solo respuestas HTTP públicas a GETs estándar.
Cómo mitigar
- •Restringir paneles admin por IP/VPN — no por contraseña sola.
- •Añadir 2FA obligatorio para usuarios administrativos.
- •Renombrar paths por defecto donde sea posible (ej. `/wp-admin` → URL custom + plugin de hardening).
- •Monitorear intentos de login y bloquear IPs con fail2ban o equivalente.