Seguridad de pepinapastel.es

[CRITICAL] Puerto 3306 (MySQL) abierto: La base de datos está expuesta a internet, lo que permite intentos de conexión directa y ataques de fuerza bruta.

[HIGH] Puerto 21 (FTP) abierto: El servicio de transferencia de archivos no está cifrado, lo que facilita la interceptación de credenciales de administración.

[HIGH] WordPress versión 6.1.10 expuesta: El uso de una versión obsoleta permite a potenciales atacantes explotar vulnerabilidades conocidas (CVEs) para tomar el control del sitio.

[HIGH] Content-Security-Policy (CSP) falta: La ausencia de esta directiva facilita la ejecución de ataques de XSS e inyección de contenido malicioso.

[HIGH] X-Frame-Options falta: El sitio es vulnerable a ataques de clickjacking, donde un atacante puede camuflar la interfaz para engañar al usuario.

[HIGH] Strict-Transport-Security (HSTS) falta: No se obliga al navegador a usar siempre conexiones seguras, permitiendo ataques de degradación de protocolo.

[MEDIUM] Contenido Mixto: Existen 7 recursos cargándose mediante HTTP inseguro dentro de la página HTTPS, comprometiendo la integridad del candado de seguridad.

[MEDIUM] X-Content-Type-Options falta: El sitio no previene que el navegador intente adivinar el tipo de contenido, lo que puede derivar en la ejecución de scripts maliciosos.

[MEDIUM] Archivo /readme.html accesible: Este archivo revela información técnica y versiones del CMS que facilitan el reconocimiento por parte de atacantes.

[MEDIUM] Referrer-Policy falta: No se controla la información que se envía a otros sitios al hacer clic en enlaces salientes.

[MEDIUM] Bloqueo total en robots.txt: La directiva Disallow: / impide el rastreo legítimo pero no oculta la estructura del sitio a ojos malintencionados.

[LOW] Server header expuesto: El servidor revela el uso de LiteSpeed, acotando los vectores de ataque posibles para un intruso.

[LOW] Meta generator expuesto: Se confirma públicamente el uso de WordPress 6.1.10 en el código fuente de la página.