Seguridad de cpdbugarra.com

[CRITICAL] Puerto 3306 (MySQL): La base de datos MySQL se encuentra expuesta públicamente, lo que permite ataques directos de fuerza bruta o acceso no autorizado a la información.

[HIGH] WordPress version: La versión 6.9.4 de WordPress está expuesta, permitiendo que atacantes identifiquen y exploten vulnerabilidades conocidas (CVEs) para este software desactualizado.

[HIGH] Content-Security-Policy: La ausencia de esta cabecera facilita la ejecución de ataques de inyección de código y Cross-Site Scripting (XSS).

[HIGH] X-Frame-Options: Falta de protección contra ataques de clickjacking, permitiendo que el sitio sea cargado en marcos externos maliciosos.

[HIGH] Strict-Transport-Security: No se ha configurado HSTS, lo que impide que el navegador fuerce conexiones seguras y deja la comunicación vulnerable a ataques de degradación.

[HIGH] Puerto 21 (FTP): Este puerto está abierto para transferencia de archivos sin cifrar, lo que expone las credenciales de administración en la red.

[MEDIUM] Cookie ep_session_id: Las cookies de sesión carecen del atributo SameSite, lo que hace al sitio vulnerable a ataques de falsificación de petición en sitios cruzados (CSRF).

[MEDIUM] Contenido Mixto: Se detectaron recursos cargados mediante HTTP en una página HTTPS, comprometiendo la integridad del cifrado y la privacidad.

[MEDIUM] X-Content-Type-Options: La falta de esta cabecera permite que los navegadores realicen "MIME-type sniffing", pudiendo ejecutar archivos con contenido malicioso disfrazado.

[MEDIUM] Puerto 22 (SSH): El acceso remoto seguro está abierto, lo que representa un vector de ataque si no existen políticas de bloqueo de IP o autenticación robusta.

[MEDIUM] Archivo /readme.html y /wp-login.php: Estos archivos y rutas son accesibles públicamente, revelando detalles técnicos y facilitando ataques al panel de administración.

[MEDIUM] Referrer-Policy: No existe control sobre la información de referencia enviada a otros sitios, lo que puede filtrar datos de navegación.

[MEDIUM] Permissions-Policy: No se restringe el uso de APIs del navegador como la cámara o el micrófono, aumentando la superficie de riesgo para el usuario.

[LOW] Server header expuesto: El servidor revela el uso de "HTTPd", facilitando la fase de reconocimiento de un atacante.

[LOW] Meta generator: La etiqueta meta expone explícitamente la versión del CMS WordPress utilizada.

[LOW] Ruta sensible en robots.txt: El archivo de rastreo referencia rutas como "admin", guiando a los atacantes hacia áreas administrativas.