Seguridad de inmueble.jbl2010.mx

[CRITICAL] Puerto 3306 (MySQL): La base de datos está expuesta directamente a internet, lo que permite intentos de acceso no autorizados y ataques de fuerza bruta.

[HIGH] Puerto 21 (FTP): Servicio de transferencia de archivos abierto que utiliza protocolos sin cifrar, facilitando la intercepción de credenciales de administración.

[HIGH] Content-Security-Policy: Ausencia total de esta cabecera, dejando el sitio desprotegido frente a ataques de inyección de contenido y XSS.

[HIGH] X-Frame-Options: Falta de protección que permite ataques de clickjacking mediante el uso de marcos o iframes maliciosos.

[HIGH] Strict-Transport-Security: No se fuerza el uso de conexiones HTTPS en el navegador, lo que permite ataques de degradación de protocolo.

[HIGH] Cookie ci_session: La cookie de sesión carece del flag Secure, permitiendo su envío a través de canales no cifrados y facilitando el secuestro de sesión.

[MEDIUM] Puerto 22 (SSH): Acceso remoto administrativo expuesto públicamente, aumentando la superficie de ataque del servidor.

[MEDIUM] X-Content-Type-Options: Falta de restricción para evitar que el navegador interprete archivos de forma errónea (MIME-sniffing).

[MEDIUM] Referrer-Policy: No se controla la información de origen que se envía a enlaces externos o terceros.

[MEDIUM] Permissions-Policy: Ausencia de restricciones sobre el acceso del navegador a funciones de hardware como cámara o geolocalización.

[LOW] Server header expuesto: El servidor Nginx revela su identidad, facilitando la fase de reconocimiento de un atacante.

[LOW] X-Powered-By expuesto: Se detecta el uso de PHP/8.3.30 y PleskLin, lo que expone detalles específicos de la tecnología interna.

[LOW] sitemap.xml: No se encuentra el mapa del sitio, lo que dificulta la indexación estructurada y la visibilidad de rutas públicas.