Seguridad de egaz.eus

[CRITICAL] Puerto 3306 (MySQL): La base de datos está abierta y expuesta a internet, lo que permite ataques directos de fuerza bruta o robo de información sensible.

[HIGH] WordPress versión 3.4.0: Se utiliza una versión extremadamente antigua que contiene múltiples vulnerabilidades conocidas (CVEs) para ejecución remota de código.

[HIGH] Puerto 21 (FTP): El servicio de transferencia de archivos no está cifrado, permitiendo que un atacante intercepte credenciales y archivos en la red.

[HIGH] Content-Security-Policy (CSP) ausente: La falta de esta cabecera facilita la ejecución de ataques de Cross-Site Scripting (XSS) e inyección de datos.

[HIGH] X-Frame-Options ausente: El sitio es vulnerable a clickjacking, permitiendo que atacantes oculten la web en marcos para engañar a los usuarios.

[HIGH] HSTS (Strict-Transport-Security) no configurado: El servidor no obliga a los navegadores a usar HTTPS, facilitando ataques de degradación de conexión.

[MEDIUM] Puerto 22 (SSH): El servicio de administración remota está expuesto públicamente, aumentando la superficie de ataque para accesos no autorizados.

[MEDIUM] Contenido Mixto: Existen recursos que se cargan mediante HTTP dentro de la página segura HTTPS, lo que debilita el cifrado del sitio.

[MEDIUM] X-Content-Type-Options ausente: El navegador podría intentar interpretar archivos de forma incorrecta, permitiendo la ejecución de scripts maliciosos.

[MEDIUM] Archivo /readme.html accesible: Este archivo revela información técnica de la instalación que ayuda a los atacantes en la fase de reconocimiento.

[LOW] Cabecera de servidor expuesta: El servidor revela el uso de HTTPd, proporcionando detalles sobre la tecnología subyacente que pueden ser aprovechados.

[LOW] Meta generator expuesto: Se muestra la versión exacta de plugins como WPML, permitiendo buscar vulnerabilidades específicas para esos componentes.