Menuda web gitana le han hecho... un WordPress guarro con el wp-login y wp-admin expuestos, o los datos de la API Rest públicos para ver que username es el admin: https://phonexil.com/wp-json/wp/v2/users Con la API expuesta, puedes ver hasta imágenes subidas, como algunas que acabo de ver protegidas por copyright de terceros.
También tiene expuestas las lista de plugins como el Yoast, Google Site Kit o, por ejemplo las versiones de Wordpress y Woocomerce. Es fácil que un atacante busque vulnerabilidades si sabe que versión tienes. Siempre recomendaré ocultarlo este dato.
