Seguridad de socage.es

[HIGH] Falta de Content-Security-Policy: La ausencia de esta cabecera permite ataques de Cross-Site Scripting (XSS) e inyección de contenido malicioso.

[HIGH] Falta de X-Frame-Options: El sitio no protege contra ataques de clickjacking, permitiendo que la web sea embebida en marcos externos.

[HIGH] Falta de Strict-Transport-Security: No se fuerza la conexión HTTPS a nivel de navegador, facilitando ataques de degradación de SSL (HSTS).

[HIGH] Versión de WordPress 6.7.5 expuesta: La visibilidad pública de la versión exacta permite a los atacantes identificar CVEs específicos para este software.

[HIGH] Puerto 21 (FTP) ABIERTO: Este puerto permite la transferencia de archivos sin cifrado, exponiendo credenciales y datos en texto plano.

[MEDIUM] X-Content-Type-Options faltante: El sitio es vulnerable al sniffing de tipos MIME, lo que puede llevar a la ejecución de archivos no deseados.

[MEDIUM] Referrer-Policy faltante: No existe control sobre la información de referencia enviada a otros dominios, lo que podría filtrar rutas internas.

[MEDIUM] Permissions-Policy faltante: No se restringe el acceso a APIs críticas del navegador como la cámara o el micrófono.

[MEDIUM] Puerto 22 (SSH) ABIERTO: El acceso remoto está disponible, lo que supone un vector de ataque si no se cuenta con autenticación robusta o restricción de IP.

[MEDIUM] Ruta /wp-login.php accesible: El panel de administración de WordPress está expuesto a ataques de fuerza bruta por parte de bots.

[LOW] Cabeceras de servidor expuestas: Se revela el uso de nginx, PHP/8.1.25 y PleskLin, facilitando el reconocimiento del entorno técnico.

[LOW] Meta generator expuesto: La etiqueta meta confirma el uso de WordPress 6.7.5, reforzando la información para el escaneo de vulnerabilidades.

[LOW] Ruta sensible en robots.txt: Se hace referencia directa a directorios de administración, guiando a posibles atacantes hacia zonas restringidas.