Seguridad de lpscol.com

[HIGH] Content-Security-Policy: Falta esta cabecera esencial que previene ataques de Cross-Site Scripting (XSS) e inyección de contenido malicioso.

[HIGH] X-Frame-Options: La ausencia de esta política permite ataques de clickjacking, donde un atacante puede engañar al usuario para realizar acciones no deseadas.

[HIGH] Strict-Transport-Security: No existe una política HSTS, lo que permite que la conexión pueda ser degradada a HTTP no cifrado por un atacante.

[HIGH] Puerto 21 (FTP): El servicio de transferencia de archivos está abierto y es intrínsecamente inseguro al enviar credenciales en texto plano.

[MEDIUM] X-Content-Type-Options: La falta de esta cabecera permite el sniffing de tipos MIME, lo que puede llevar a que el navegador ejecute archivos con contenido malicioso disfrazado.

[MEDIUM] Referrer-Policy: No se controla la información de referencia enviada a otros sitios, lo que podría exponer URLs internas o datos de navegación.

[MEDIUM] Permissions-Policy: El sitio no restringe el acceso a APIs sensibles del navegador como la cámara, el micrófono o la geolocalización.

[MEDIUM] Archivos de sistema expuestos: Los archivos /readme.html y /README.txt son accesibles y pueden revelar detalles técnicos de la infraestructura al atacante.

[MEDIUM] Paneles de acceso públicos: Las rutas /wp-login.php, /administrator/ y /user/login están expuestas, facilitando intentos de acceso no autorizado por fuerza bruta.

[MEDIUM] Puerto 22 (SSH): El puerto de acceso remoto está abierto, aumentando la superficie de ataque para intrusiones a nivel de servidor.

[LOW] Server header expuesto: El servidor revela el uso de LiteSpeed, lo que ayuda a los atacantes a buscar vulnerabilidades específicas para esa tecnología.

[LOW] Robots.txt y Sitemap: La ausencia de estos archivos indica una gestión de indexación deficiente y falta de control sobre las rutas rastreables.