Seguridad de alarmasextremadura.es

[CRITICAL] Puerto 3306 (MySQL): La base de datos está expuesta públicamente, permitiendo intentos de conexión externa y ataques de fuerza bruta.

[HIGH] Puerto 21 (FTP): Servicio de transferencia de archivos abierto que envía información sin cifrar, facilitando la interceptación de credenciales.

[HIGH] WordPress versión: La versión 7.0 se encuentra expuesta públicamente, lo que permite a posibles atacantes identificar y explotar vulnerabilidades específicas.

[HIGH] X-Frame-Options: Ausencia de esta cabecera, lo que hace al sitio susceptible a ataques de secuestro de clics o clickjacking.

[HIGH] Strict-Transport-Security: Falta de configuración HSTS, lo que impide que el navegador obligue siempre a realizar conexiones seguras.

[MEDIUM] X-Content-Type-Options: Cabecera faltante que permite el MIME-type sniffing, aumentando el riesgo de ejecución de scripts maliciosos.

[MEDIUM] Referrer-Policy: No existe una política definida, lo que puede filtrar información sensible de navegación a sitios externos.

[MEDIUM] Permissions-Policy: No se restringen las APIs del navegador, permitiendo potencialmente el uso de cámara o micrófono sin control estricto.

[MEDIUM] Archivo /readme.html: Este archivo es accesible públicamente y revela detalles técnicos sobre la instalación del CMS.

[MEDIUM] Ruta /wp-login.php: El panel de administración es visible para cualquier usuario, facilitando ataques dirigidos al acceso administrativo.

[LOW] Server header expuesto: El servidor responde con LiteSpeed, revelando la tecnología subyacente y facilitando el perfilado de la infraestructura.

[LOW] X-Powered-By expuesto: Se detalla el uso de PHP/8.3.30, información que ayuda a reducir el espectro de búsqueda de exploits específicos.

[LOW] Meta generator: La etiqueta meta expone WordPress 7.0 en el código fuente del sitio.