Seguridad de guppy.es

[HIGH] Content-Security-Policy: La ausencia de esta cabecera permite la ejecución de ataques XSS y la inyección de contenido malicioso de terceros.

[HIGH] X-Frame-Options: Al no estar configurada, el sitio es susceptible a ataques de clickjacking mediante el uso de frames.

[HIGH] Strict-Transport-Security: La falta de HSTS permite que un atacante intente degradar la conexión de los usuarios a HTTP no cifrado.

[HIGH] WordPress version: La exposición pública de la versión 6.9.4 facilita a los atacantes el uso de exploits para vulnerabilidades ya documentadas.

[HIGH] Puerto 21 (FTP): Este puerto está abierto y transmite datos sin cifrar, lo que pone en riesgo las credenciales de administración.

[MEDIUM] X-Content-Type-Options: La falta de esta directiva permite que el navegador intente adivinar el tipo de contenido, facilitando ataques de MIME-sniffing.

[MEDIUM] Referrer-Policy: No se controla la información de referencia enviada a otros dominios, lo que podría filtrar rutas internas.

[MEDIUM] Permissions-Policy: No se restringe el acceso a APIs sensibles del navegador como la cámara, el micrófono o la ubicación.

[MEDIUM] Archivo /readme.html: Este archivo es accesible públicamente y confirma detalles técnicos sobre la instalación del CMS.

[MEDIUM] Ruta /wp-login.php: El panel de acceso administrativo es visible para cualquier usuario, permitiendo intentos de fuerza bruta.

[MEDIUM] Puerto 22 (SSH): Se detectó un puerto de acceso remoto abierto que constituye un vector de ataque si no está debidamente protegido.

[LOW] Server header expuesto: El servidor revela el uso de Apache/2.4.29, facilitando el perfilado tecnológico por parte de atacantes.

[LOW] Meta generator: La etiqueta en el código fuente expone directamente que se utiliza WordPress 6.9.4.

[LOW] Ruta sensible en robots.txt: Se referencia el directorio "admin", lo que ayuda a un atacante a mapear la estructura interna del sitio.