Hola, warghost, he validado la página y había errores, aunque la mayoría de ellos eran por los botones de twitter y facebook, que necesitaban html5 y lo tenía puesto en html4, ya lo he cambiado. Sobre lo de eliminar los índices del servidor ¿cómo se hace? He buscado por google y no lo he encontrado. Lo del httponly, he puesto ini_set('session.cookie_httponly', 1); en el index, que es la página desde la que llamo a todas las demás, ya que es lo que he leído por ahí. Gracias Warghost.
Stakewinner, he probado lo del nessus (no lo había oído nunca) y no sé si me funciona o no, he hecho una política para la web y he puesto un nuevo scan con
http://www.tuzine.es pero no sé si está haciendo algo o no, ¿cuánto tiempo le suele costar? Lleva en running un rato largo ya...
Un saludo!