Seguridad de trueconquer.online

[CRITICAL] Puerto 3306 (MySQL) ABIERTO: La base de datos está expuesta directamente a internet, permitiendo intentos de acceso no autorizados y ataques de fuerza bruta.

[HIGH] Puerto 21 (FTP) ABIERTO: El protocolo de transferencia de archivos no utiliza cifrado, lo que permite la interceptación de credenciales y datos en tránsito.

[HIGH] Strict-Transport-Security (HSTS) FALTA: El navegador no es forzado a utilizar siempre conexiones HTTPS, facilitando ataques de degradación de protocolo (SSL Stripping).

[HIGH] X-Frame-Options FALTA: El sitio no previene ser cargado dentro de marcos o iframes, lo que lo hace vulnerable a ataques de clickjacking.

[HIGH] Cookie XSRF-TOKEN sin HttpOnly: La falta de este atributo permite que la cookie sea accesible mediante scripts, aumentando el riesgo de robo de sesión vía ataques XSS.

[MEDIUM] X-Content-Type-Options FALTA: El sitio es susceptible a ataques de sniffing de tipo MIME al no restringir que el navegador interprete archivos de forma incorrecta.

[MEDIUM] Referrer-Policy FALTA: No se controla la cantidad de información de navegación que se envía a terceros cuando un usuario hace clic en un enlace saliente.

[MEDIUM] Permissions-Policy FALTA: El servidor no establece restricciones sobre el uso de funciones sensibles del navegador como la cámara, el micrófono o la geolocalización.

[LOW] Server header expuesto: La cabecera revela el uso de LiteSpeed, proporcionando información técnica valiosa para un atacante sobre la tecnología del servidor.

[LOW] X-Powered-By expuesto: Indica explícitamente el uso de PHP/8.0.30, lo que permite buscar vulnerabilidades específicas para esa versión del lenguaje.

[LOW] sitemap.xml no encontrado: La ausencia de este archivo dificulta la auditoría de la estructura del sitio y afecta la indexación profesional.