Seguridad de hero.aquinas.tech

[CRITICAL] Puerto 3306 (MySQL): La base de datos MySQL se encuentra abierta al tráfico externo, permitiendo intentos de conexión no autorizados.

[CRITICAL] Puerto 5432 (PostgreSQL): La base de datos PostgreSQL está expuesta públicamente, lo que facilita ataques de fuerza bruta o explotación de credenciales.

[HIGH] Puerto 21 (FTP): Servicio de transferencia de archivos activo y sin cifrar, permitiendo la interceptación de credenciales en tránsito.

[HIGH] WordPress 4.5.2 expuesta: El sitio utiliza una versión antigua del CMS con múltiples vulnerabilidades conocidas y exploits públicos disponibles.

[HIGH] Content-Security-Policy: La ausencia de esta cabecera permite la ejecución de ataques XSS y la inyección de contenido malicioso.

[MEDIUM] Archivo /readme.html: Este archivo es accesible y revela detalles técnicos que facilitan el reconocimiento por parte de atacantes.

[MEDIUM] Ruta /wp-login.php: El panel de administración es accesible públicamente, quedando expuesto a ataques de fuerza bruta automatizados.

[MEDIUM] HSTS max-age: La política de transporte seguro está configurada para 30 días, un periodo inferior a los 180 días recomendados.

[MEDIUM] Referrer-Policy: La falta de esta cabecera no permite controlar cuánta información de navegación se envía a otros sitios.

[LOW] Server header expuesto: El servidor revela el uso de nginx, acotando el vector de ataque para un adversario.

[LOW] Meta generator: Se exponen versiones de Elementor y ajustes internos en el código fuente de la página.

[LOW] Ruta sensible en robots.txt: Se hace referencia explícita al directorio admin, facilitando la identificación de rutas de gestión.