Seguridad de movinova.com

[CRITICAL] Puerto 3306 (MySQL): La base de datos está expuesta públicamente, lo que permite intentos de conexión externa y ataques de fuerza bruta.

[HIGH] Puerto 21 (FTP): Este puerto permite la transferencia de archivos sin cifrado, exponiendo credenciales y datos en tránsito.

[HIGH] WordPress versión 6.9.4: Se expone públicamente una versión específica de CMS, facilitando la identificación de exploits y CVEs conocidos.

[HIGH] Content-Security-Policy: La ausencia de esta cabecera permite ataques de inyección de contenido y Cross-Site Scripting (XSS).

[HIGH] X-Frame-Options: Al no estar presente, el sitio es vulnerable a ataques de clickjacking donde se puede secuestrar la interfaz de usuario.

[HIGH] Strict-Transport-Security: La falta de HSTS impide que el navegador fuerce conexiones seguras, permitiendo ataques de degradación de protocolo.

[MEDIUM] Puerto 22 (SSH): El servicio de acceso remoto está abierto, lo que representa un vector de ataque si no tiene políticas de acceso restringidas.

[MEDIUM] X-Content-Type-Options: La falta de esta política permite que el navegador ignore el tipo de contenido enviado, facilitando el MIME-type sniffing.

[MEDIUM] Referrer-Policy: No se controla la información de navegación que se envía a terceros al seguir enlaces externos.

[MEDIUM] Permissions-Policy: No se restringe el acceso de las APIs del navegador a componentes de hardware o funciones del sistema.

[MEDIUM] Ruta /wp-login.php y readme.html: El panel de administración y archivos de información están accesibles, facilitando ataques de fuerza bruta.

[LOW] Server header expuesto: El servidor revela el uso de Apache, proporcionando información técnica útil para un atacante.

[LOW] Meta generator: La etiqueta meta revela la versión exacta del CMS WordPress en el código fuente.