Seguridad de planasa.com

[HIGH] WordPress version: La version 6.8.1 se encuentra expuesta publicamente lo que permite a atacantes buscar vulnerabilidades CVE conocidas.

[HIGH] Content-Security-Policy: Falta esta cabecera lo cual deja el sitio vulnerable a ataques de Cross-Site Scripting (XSS) e inyeccion de contenido.

[HIGH] X-Frame-Options: La ausencia de esta cabecera permite que el sitio sea cargado en un iframe facilitando ataques de clickjacking.

[HIGH] Puerto 21 (FTP): El puerto esta abierto y permite la transferencia de archivos sin cifrar lo que facilita la interceptacion de credenciales.

[MEDIUM] X-Content-Type-Options: Falta esta directiva permitiendo que el navegador adivine el tipo de contenido aumentando el riesgo de ejecucion de scripts maliciosos.

[MEDIUM] Referrer-Policy: No existe control sobre la informacion de procedencia enviada en las peticiones lo que puede filtrar URLs internas.

[MEDIUM] Permissions-Policy: No se restringen las APIs del navegador como la camara o el microfono aumentando el riesgo de privacidad para el usuario.

[MEDIUM] Archivo /readme.html: Este archivo es accesible publicamente y revela informacion tecnica detallada sobre la instalacion del CMS.

[MEDIUM] Puerto 22 (SSH): El puerto de acceso remoto esta abierto lo que incrementa la superficie de ataque para intentos de fuerza bruta.

[LOW] Server header expuesto: El servidor revela que utiliza nginx facilitando la busqueda de exploits especificos para esa tecnologia.

[LOW] X-Powered-By expuesto: Se revela el uso de PHP/7.4.33 y Plesk informando al atacante sobre el framework y lenguaje del servidor.

[LOW] Meta generator: La etiqueta meta expone especificamente el uso de WordPress 6.8.1 facilitando el reconocimiento automatizado.