Seguridad de ioc.xtec.cat

[HIGH] Content-Security-Policy: Falta esta cabecera esencial, lo que facilita ataques de inyección de scripts y Cross-Site Scripting (XSS).

[HIGH] X-Frame-Options: La ausencia de esta directiva permite que el sitio sea cargado en iframes, exponiéndolo a ataques de clickjacking.

[HIGH] Strict-Transport-Security: No existe configuración HSTS, lo que impide forzar conexiones seguras y permite ataques de degradación de protocolo.

[HIGH] WordPress version: La versión 6.8.3 se encuentra expuesta públicamente, lo que facilita a atacantes la búsqueda de vulnerabilidades específicas conocidas.

[MEDIUM] X-Content-Type-Options: La falta de esta cabecera permite el sniffing de tipos MIME, pudiendo derivar en la ejecución de archivos maliciosos.

[MEDIUM] Referrer-Policy: No se controla la información enviada en las peticiones de origen, lo que puede comprometer la privacidad de la navegación.

[MEDIUM] Permissions-Policy: Ausencia de restricciones sobre el uso de APIs del navegador, como la cámara o el micrófono, por parte de terceros.

[MEDIUM] Archivos de información expuestos: Los archivos /readme.html y /README.txt son accesibles, revelando detalles técnicos innecesarios del CMS.

[MEDIUM] Puerto 22 (SSH) abierto: El puerto de acceso remoto está disponible, lo que aumenta la superficie de ataque para intentos de intrusión por fuerza bruta.

[LOW] Server header expuesto: El servidor revela el uso de Apache/2.4.58 (Ubuntu), facilitando la fase de reconocimiento de un atacante.

[LOW] Meta generator: La etiqueta meta expone la tecnología WordPress 6.8.3 directamente en el código fuente.