Seguridad de cliksaver.cl

[CRITICAL] Puerto 3306 (MySQL) ABIERTO: La base de datos se encuentra expuesta directamente a internet, lo que permite intentos de conexión externa y ataques de fuerza bruta.

[HIGH] Content-Security-Policy (CSP) Faltante: Ausencia de políticas para prevenir ataques de inyección de contenido y Cross-Site Scripting (XSS).

[HIGH] X-Frame-Options Faltante: El sitio no protege contra ataques de clickjacking, permitiendo que la web sea embebida en marcos maliciosos.

[HIGH] Strict-Transport-Security (HSTS) Faltante: No se obliga al navegador a utilizar conexiones HTTPS, facilitando ataques de degradación de protocolo (Man-in-the-Middle).

[MEDIUM] Puerto 22 (SSH) ABIERTO: El servicio de acceso remoto está expuesto, aumentando la superficie de ataque para accesos no autorizados al servidor.

[MEDIUM] Archivos técnicos expuestos (/readme.html, /README.txt): Estos archivos son accesibles públicamente y pueden revelar información sobre la estructura interna del sitio.

[MEDIUM] Rutas de administración expuestas (/wp-login.php, /administrator, /user/login): Los paneles de gestión son visibles para cualquier usuario, facilitando ataques dirigidos al acceso administrativo.

[MEDIUM] X-Content-Type-Options Faltante: Permite que los navegadores realicen sniffing de tipos MIME, lo que puede derivar en la ejecución de archivos maliciosos disfrazados.

[MEDIUM] Referrer-Policy y Permissions-Policy Faltantes: No existe control sobre la información de referencia enviada a otros sitios ni restricciones sobre el uso de APIs del navegador como cámara o micrófono.

[LOW] Cabecera Server expuesta: Se revela el uso de nginx/1.29.7, permitiendo a un atacante buscar vulnerabilidades específicas para esa versión del software.

[LOW] Ruta sensible en robots.txt: La referencia al directorio .git puede guiar a un atacante hacia repositorios de código fuente sensibles.