Seguridad de first-ex.com.bo

[CRITICAL] Puerto 3306 (MySQL): La base de datos está expuesta directamente a internet, permitiendo intentos de conexión externa y ataques de fuerza bruta.

[HIGH] Puerto 21 (FTP): Servicio de transferencia de archivos activo y sin cifrar, lo que permite la interceptación de credenciales y datos.

[HIGH] WordPress version: Se detectó la versión 6.9.4 expuesta públicamente, la cual contiene vulnerabilidades conocidas que pueden ser explotadas.

[HIGH] X-Frame-Options: Cabecera ausente que facilita ataques de clickjacking, permitiendo que el sitio sea cargado dentro de marcos maliciosos.

[HIGH] Strict-Transport-Security: Falta de configuración HSTS, lo que impide que el navegador obligue siempre el uso de conexiones seguras.

[MEDIUM] Archivo /readme.html: Este archivo es accesible para cualquier usuario y revela información estructural y versiones del sistema.

[MEDIUM] X-Content-Type-Options: Ausencia de esta cabecera que permite el sniffing de tipos MIME, aumentando el riesgo de ejecución de scripts maliciosos.

[MEDIUM] Referrer-Policy: No existe una política definida, lo que provoca la fuga de información de navegación hacia sitios de terceros.

[MEDIUM] Permissions-Policy: No se restringen las capacidades del navegador, dejando expuestas funciones como la cámara o el micrófono.

[MEDIUM] Ruta /wp-login.php: El panel de acceso administrativo es visible para todo el público, facilitando ataques automatizados de acceso.

[LOW] Server header expuesto: El servidor LiteSpeed revela su identidad, ayudando a los atacantes a buscar fallos específicos de esa tecnología.

[LOW] X-Powered-By expuesto: La cabecera muestra el uso de PHP/8.3.30, brindando información técnica innecesaria a entidades externas.