Seguridad de vivialiving.es

[CRITICAL] Puerto 5432 (PostgreSQL): La base de datos PostgreSQL está expuesta a internet, permitiendo intentos de conexión externa y ataques de fuerza bruta.

[CRITICAL] Puerto 3306 (MySQL): El servicio de base de datos MySQL es accesible públicamente, lo que representa un riesgo extremo de filtración de datos sensibles.

[HIGH] Puerto 21 (FTP): El protocolo de transferencia de archivos está abierto y no utiliza cifrado, facilitando la interceptación de credenciales administrativas.

[HIGH] Content-Security-Policy: La ausencia de esta cabecera permite la ejecución de ataques de Cross-Site Scripting (XSS) y la inyección de contenido malicioso.

[HIGH] X-Frame-Options: El sitio carece de protección contra clickjacking, permitiendo que atacantes embeban la web en marcos externos para engañar a los usuarios.

[HIGH] Strict-Transport-Security: No se ha configurado HSTS, lo que impide obligar a los navegadores a utilizar conexiones cifradas de forma permanente.

[MEDIUM] X-Content-Type-Options: La falta de esta cabecera hace que el sitio sea vulnerable a ataques de sniffing de tipos MIME por parte del navegador.

[MEDIUM] Referrer-Policy: No existe control sobre la información de procedencia enviada a otros dominios, lo que puede filtrar URLs privadas.

[MEDIUM] Permissions-Policy: Las APIs del navegador como la cámara o el micrófono no están restringidas, comprometiendo la privacidad potencial del visitante.

[MEDIUM] Archivo /readme.html y /wp-login.php: Estos archivos son accesibles públicamente, facilitando el reconocimiento de la versión del CMS y ataques dirigidos al panel de acceso.

[LOW] Server header expuesto: El servidor revela el uso de nginx, proporcionando información técnica valiosa para que un atacante busque exploits específicos.

[LOW] Meta generator: La etiqueta meta expone el uso de Site Kit by Google 1.179.0, revelando herramientas internas de la web.