Seguridad de cfisiomad.madrid

[CRITICAL] Puerto 3306 (MySQL): La base de datos se encuentra abierta a internet, permitiendo intentos de conexión externa y ataques de fuerza bruta.

[HIGH] Content-Security-Policy (CSP): La ausencia de esta cabecera facilita la ejecución de ataques XSS y la inyección de contenido malicioso.

[HIGH] X-Frame-Options: La falta de esta protección hace al sitio vulnerable a ataques de clickjacking, donde un atacante puede secuestrar clics del usuario.

[HIGH] Strict-Transport-Security (HSTS): No se obliga al navegador a usar HTTPS, permitiendo ataques de degradación de SSL y la interceptación de tráfico.

[HIGH] Puerto 21 (FTP): Servicio de transferencia de archivos sin cifrar expuesto, lo que facilita la captura de credenciales en tránsito.

[MEDIUM] X-Content-Type-Options: El sitio no previene el sniffing de tipos MIME, lo que podría permitir la ejecución de archivos maliciosos disfrazados.

[MEDIUM] Contenido Mixto: Se detectaron recursos cargados mediante HTTP inseguro dentro de la página protegida, comprometiendo la seguridad de la sesión.

[MEDIUM] Referrer-Policy: No se define qué información de navegación se comparte con otros sitios, afectando a la privacidad de los usuarios.

[MEDIUM] Permissions-Policy: Falta de restricciones sobre APIs sensibles del navegador como la geolocalización o la cámara.

[MEDIUM] Puerto 8080 (HTTP-Alt): Un puerto de servidor web alternativo está abierto, aumentando la superficie de ataque disponible para agentes externos.

[LOW] Meta generator: El sitio expone públicamente que utiliza WordPress 6.9.4, facilitando la identificación de exploits para esta versión específica.

[LOW] Server header expuesto: La cabecera revela el uso de Nginx, proporcionando información valiosa a los atacantes sobre la tecnología del servidor.