Seguridad de circoraluy.com

[CRITICAL] Puerto 3306 (MySQL): El servicio de base de datos está abierto al exterior, permitiendo intentos de conexión directa.

[HIGH] Content-Security-Policy (CSP): Falta esta cabecera esencial que previene ataques de inyección de código y XSS.

[HIGH] X-Frame-Options: Cabecera ausente, lo que hace al sitio susceptible a ataques de secuestro de clics o clickjacking.

[HIGH] Strict-Transport-Security (HSTS): No se fuerza el uso de HTTPS, permitiendo comunicaciones interceptables.

[HIGH] Redireccion HTTP a HTTPS: El sitio no redirige automáticamente el tráfico inseguro al protocolo seguro.

[HIGH] WordPress version 6.9.4: La versión del CMS está expuesta y desactualizada, facilitando la búsqueda de exploits conocidos.

[HIGH] Puerto 21 (FTP): Servicio de transferencia de archivos abierto que transmite credenciales y datos sin cifrar.

[MEDIUM] X-Content-Type-Options: Falta la cabecera para evitar que el navegador interprete archivos con tipos MIME incorrectos.

[MEDIUM] Referrer-Policy: No existe control sobre la información de navegación que se envía a otros sitios.

[MEDIUM] Permissions-Policy: No se restringen las APIs del navegador como la cámara o el micrófono.

[MEDIUM] Archivo /readme.html y /wp-login.php: Archivos y rutas de administración accesibles que revelan información técnica.

[MEDIUM] Puerto 22 (SSH): Acceso remoto abierto, lo que permite ataques de fuerza bruta contra el servidor.

[LOW] Server header expuesto: El servidor informa que usa HTTPd, ayudando a los atacantes a perfilar el sistema.

[LOW] Ruta sensible en robots.txt: Se hace referencia directa a rutas de administración, guiando a posibles intrusos.