Seguridad de cfisiomad.org

[CRITICAL] Puerto 3306 (MySQL) abierto: La base de datos se encuentra expuesta a internet, lo que permite ataques de fuerza bruta o explotación directa de la información almacenada.

[HIGH] Cabeceras de seguridad ausentes: El sitio no implementa CSP, X-Frame-Options ni HSTS, facilitando ataques de inyección de scripts, clickjacking y secuestro de sesiones.

[HIGH] Puerto 21 (FTP) abierto: Servicio de transferencia de archivos activo que transmite datos sin cifrar, permitiendo la interceptación de credenciales de acceso.

[HIGH] Exposición de versión de WordPress: La visibilidad de la versión 7.3.8 y 2 permite a atacantes identificar y explotar CVEs específicos ya documentados.

[HIGH] HSTS no configurado: El servidor no obliga al navegador a utilizar siempre conexiones seguras, dejando la puerta abierta a ataques de degradación de protocolo (SSL Stripping).

[MEDIUM] Contenido mixto detectado: Existen recursos cargados mediante HTTP en una página HTTPS, lo que compromete la integridad de la conexión cifrada.

[MEDIUM] Puerto 8080 (HTTP-Alt) abierto: La presencia de un servidor web secundario aumenta la superficie de ataque y suele ocultar servicios menos protegidos.

[MEDIUM] Archivo /readme.html accesible: Este archivo revela información técnica sobre la instalación del CMS que debería ser privada.

[LOW] Cabecera de servidor expuesta: El servidor revela el uso de nginx, proporcionando datos útiles para el reconocimiento inicial de un atacante.

[LOW] Meta generator expuesto: El código fuente muestra la versión exacta de WordPress, facilitando el perfilado de vulnerabilidades.