Seguridad de terrassa.salesians.cat

[HIGH] Versión de WordPress expuesta: La versión 6.9.4 es visible públicamente, lo que permite a atacantes buscar y aplicar exploits para vulnerabilidades conocidas.

[HIGH] Content-Security-Policy ausente: La falta de esta cabecera facilita ataques de inyección de contenido y scripts maliciosos (XSS).

[HIGH] X-Frame-Options ausente: La ausencia de protección contra marcos hace que el sitio sea vulnerable a ataques de clickjacking.

[HIGH] Strict-Transport-Security ausente: Al no configurar HSTS, el servidor no obliga al navegador a usar siempre conexiones seguras, permitiendo ataques de degradación.

[HIGH] Puerto 21 (FTP) abierto: El servicio de transferencia de archivos está accesible y transmite información sin cifrar, incluyendo posibles credenciales.

[MEDIUM] Contenido mixto detectado: Existen 10 recursos cargados mediante HTTP inseguro dentro de la página HTTPS, rompiendo la cadena de confianza del cifrado.

[MEDIUM] Cookie sin atributo SameSite: La cookie __wpdm_client carece de la directiva SameSite, lo que la hace susceptible a ataques de falsificación de solicitud en sitios cruzados (CSRF).

[MEDIUM] X-Content-Type-Options ausente: El navegador podría intentar adivinar el tipo de contenido, permitiendo la ejecución de archivos maliciosos disfrazados de otros formatos.

[MEDIUM] Referrer-Policy y Permissions-Policy ausentes: No se controla qué información de origen se envía a otros sitios ni se restringen las capacidades del navegador como la cámara o el micrófono.

[LOW] Cabecera Server expuesta: Se revela el uso de nginx, proporcionando información técnica valiosa para la fase de reconocimiento de un atacante.

[LOW] Cabecera X-Powered-By expuesta: Se expone el uso de PHP/8.2.30 y PleskLin, reduciendo el esfuerzo necesario para identificar vectores de ataque específicos.

[LOW] Etiqueta Meta generator expuesta: El código fuente confirma explícitamente el uso de WordPress 6.9.4, facilitando el perfilado del sistema.