Seguridad de allpress.cl

[CRITICAL] Puerto 3306 (MySQL): La base de datos esta abierta a internet, permitiendo intentos de acceso no autorizado, ataques de fuerza bruta y posible extraccion de informacion sensible.

[HIGH] Puerto 21 (FTP): El servicio de transferencia de archivos esta abierto y opera sin cifrado, facilitando la interceptacion de credenciales de administracion.

[HIGH] Content-Security-Policy (CSP): La falta de esta cabecera permite ataques de cross-site scripting (XSS) e inyeccion de contenido malicioso en el navegador del usuario.

[HIGH] X-Frame-Options: La ausencia de esta proteccion expone al sitio a ataques de clickjacking, donde un atacante puede camuflar la web dentro de un marco invisible.

[HIGH] Strict-Transport-Security (HSTS): El servidor no fuerza conexiones HTTPS mediante politicas estrictas, permitiendo ataques de degradacion de protocolo (SSL Stripping).

[HIGH] Version de WordPress expuesta: Se detecto publicamente la version 6.10.0, lo que permite a potenciales atacantes identificar y explotar CVEs conocidos para esta version especifica.

[MEDIUM] X-Content-Type-Options: La falta de esta cabecera permite que el navegador intente adivinar el tipo de contenido, facilitando ataques de MIME-type sniffing.

[MEDIUM] Referrer-Policy: No se controla la informacion de origen enviada a otros sitios web, lo que puede comprometer la privacidad de las rutas internas visitadas.

[MEDIUM] Archivo readme.html: Este archivo es accesible publicamente y revela informacion tecnica detallada sobre la estructura y version del CMS utilizado.

[LOW] Server header expuesto: El servidor revela el uso de la tecnologia LiteSpeed, lo que ayuda a los atacantes a acotar sus herramientas de explotacion.

[LOW] Ruta sensible en robots.txt: El archivo menciona directamente la ruta de admin, guiando a bots y atacantes hacia posibles paneles de gestion administrativa.