Seguridad de fepade.org.sv

[HIGH] Content-Security-Policy: La ausencia de esta cabecera permite ataques de scripts cruzados (XSS) y la inyección de contenido malicioso en el navegador del usuario.

[HIGH] X-Frame-Options: Al no estar presente, el sitio es susceptible a ataques de clickjacking, permitiendo que atacantes carguen la web en marcos invisibles para engañar a los visitantes.

[HIGH] Strict-Transport-Security: La falta de HSTS impide que el servidor obligue al navegador a usar siempre conexiones cifradas, facilitando ataques de degradación de SSL.

[HIGH] Puerto 21 (FTP): Este puerto está abierto y es peligroso porque transmite credenciales y archivos en texto plano, sin ningún tipo de cifrado.

[MEDIUM] X-Content-Type-Options: La falta de esta configuración permite que los navegadores intenten adivinar el tipo de contenido, lo que puede ser aprovechado para ejecutar archivos maliciosos disfrazados de imágenes.

[MEDIUM] Referrer-Policy: No se controla la información de navegación que se envía a otros sitios web externos, lo que podría filtrar rutas internas.

[MEDIUM] Puerto 22 (SSH): La exposición de este puerto de administración remota aumenta la superficie de ataque, permitiendo intentos de acceso por fuerza bruta.

[LOW] Server header expuesto: El servidor revela el nombre de la tecnología (Apache), proporcionando información valiosa para que un atacante busque vulnerabilidades específicas de esa versión.

[LOW] Meta generator: Se exponen detalles de la versión de plugins como Site Kit by Google, lo que facilita el reconocimiento de la arquitectura interna del sitio.

[LOW] Ruta sensible en robots.txt: Se hace referencia directa a directorios como admin, orientando a posibles atacantes hacia áreas administrativas que deberían permanecer ocultas.