Seguridad de graficaslar.es

[HIGH] Content-Security-Policy: Falta la cabecera CSP, lo que permite la ejecución de scripts maliciosos y ataques de inyección de contenido XSS.

[HIGH] X-Frame-Options: La ausencia de esta cabecera hace que el sitio sea susceptible a ataques de clickjacking.

[HIGH] Strict-Transport-Security: No se ha configurado HSTS, permitiendo que las conexiones puedan ser degradadas a HTTP inseguro.

[HIGH] Puerto 21 (FTP): El puerto está abierto, lo que implica el uso de un protocolo de transferencia de archivos que envía credenciales y datos sin cifrar.

[MEDIUM] X-Content-Type-Options: La falta de esta cabecera permite el MIME-type sniffing, aumentando el riesgo de ejecución de archivos no autorizados.

[MEDIUM] Referrer-Policy: No hay control sobre la información de referencia que se envía a otros sitios web al navegar.

[MEDIUM] Permissions-Policy: No se restringe el acceso a funciones sensibles del navegador como la cámara, el micrófono o la geolocalización.

[MEDIUM] Seguridad de Cookies: La cookie de sesión f37d363274cb3fa0825581fc1126944a no tiene el atributo SameSite, facilitando ataques de falsificación de petición en sitios cruzados (CSRF).

[MEDIUM] Contenido Mixto: Se detectaron recursos cargados mediante HTTP en una página HTTPS, lo que rompe la cadena de confianza del cifrado.

[MEDIUM] Ruta /administrator/: El panel de acceso administrativo de Joomla es públicamente accesible, facilitando intentos de intrusión por fuerza bruta.

[MEDIUM] Archivo /README.txt: Este archivo técnico es accesible y puede revelar información específica sobre la estructura o versiones del sistema.

[MEDIUM] Puerto 22 (SSH): El puerto de acceso remoto está abierto, representando un vector potencial de ataque si no está debidamente protegido.

[MEDIUM] Versión CMS Expuesta: Se ha detectado información que apunta a una versión de WordPress 2 expuesta, lo cual supone un riesgo alto por obsolescencia.

[LOW] Server header expuesto: El servidor revela el uso de nginx, proporcionando información útil a posibles atacantes para buscar exploits específicos.

[LOW] X-Powered-By expuesto: Se detalla el uso de PHP/8.2.31 y PleskLin, exponiendo la tecnología subyacente del backend.

[LOW] Meta generator: El código fuente expone el uso del framework Helix Ultimate para Joomla.

[LOW] Rutas sensibles en robots.txt: Se hace referencia directa a directorios de administración, guiando a atacantes hacia rutas críticas.

[LOW] sitemap.xml: El archivo no fue encontrado, lo que dificulta la auditoría de la estructura completa del sitio.