Seguridad de movilprofit.com

[CRITICAL] Puerto 3306 (MySQL): Servicio de base de datos expuesto públicamente, permitiendo intentos de acceso externo o ataques de fuerza bruta.

[HIGH] Puerto 21 (FTP): Protocolo de transferencia de archivos sin cifrar abierto, lo que facilita la interceptación de credenciales en la red.

[HIGH] Content-Security-Policy: La ausencia de esta cabecera permite la ejecución de scripts maliciosos y ataques de inyección de contenido (XSS).

[HIGH] X-Frame-Options: La falta de esta directiva hace que el sitio sea susceptible a ataques de clickjacking mediante el uso de marcos externos.

[HIGH] Strict-Transport-Security: No se ha configurado HSTS, lo que impide que el navegador fuerce automáticamente conexiones seguras HTTPS.

[MEDIUM] X-Content-Type-Options: El servidor no previene el sniffing de tipos MIME, lo que podría permitir que archivos maliciosos sean interpretados como scripts.

[MEDIUM] Referrer-Policy: No se controla la información de procedencia enviada a terceros, comprometiendo potencialmente la privacidad de la navegación.

[MEDIUM] Permissions-Policy: No se restringe el acceso a APIs sensibles del navegador como la cámara, el micrófono o la geolocalización.

[LOW] Server header expuesto: El encabezado revela el uso de Apache, proporcionando información técnica valiosa para que un atacante busque exploits específicos.

[LOW] Archivos de rastreo faltantes: La inexistencia de robots.txt y sitemap.xml dificulta la gestión adecuada del indexado y la auditoría de rutas del sitio.