Seguridad de serranoweb.com

[HIGH] Content-Security-Policy: Falta esta cabecera esencial para prevenir ataques de inyección de contenido y XSS.

[HIGH] X-Frame-Options: Su ausencia permite ataques de clickjacking al no restringir si el sitio puede ser embebido en frames.

[HIGH] WordPress version: La versión 6.9.4 está expuesta públicamente, permitiendo a atacantes identificar CVEs específicos para este software.

[HIGH] Puerto 21 (FTP): Se encuentra abierto, lo que implica transferencia de archivos y credenciales sin cifrado, exponiendo el sitio a interceptaciones.

[MEDIUM] X-Content-Type-Options: Falta esta cabecera, lo que deja al sitio vulnerable a ataques de MIME-type sniffing.

[MEDIUM] Referrer-Policy: No está configurada, lo que impide controlar la información de procedencia enviada a otros dominios.

[MEDIUM] Permissions-Policy: Ausente, permitiendo que el navegador acceda a APIs potencialmente sensibles sin restricciones.

[MEDIUM] Archivo /readme.html: El archivo es accesible públicamente y revela información técnica sobre la instalación del CMS.

[MEDIUM] Bloqueo total en robots.txt: El archivo bloquea la indexación de todo el sitio y expone la ruta administrativa admin.

[MEDIUM] Puerto 22 (SSH): El acceso remoto seguro está abierto, lo que representa un vector de ataque si no tiene políticas de fuerza bruta.

[LOW] Server header expuesto: Revela el uso de nginx, facilitando la fase de reconocimiento para un atacante.

[LOW] X-Powered-By expuesto: Indica el uso de WP Rocket/3.5.3, revelando capas adicionales del framework.

[LOW] Meta generator: Expone la versión exacta de WordPress en el código fuente de la página.