Seguridad de afphabitat.cl

[HIGH] Content-Security-Policy: Falta esta cabecera, lo que permite la ejecución de ataques XSS y la inyección de contenido malicioso en el navegador del usuario.

[HIGH] X-Frame-Options: La ausencia de esta directiva hace al sitio susceptible a ataques de clickjacking, donde un tercero puede superponer marcos invisibles para engañar al usuario.

[HIGH] Strict-Transport-Security: No se ha configurado HSTS, lo que impide forzar conexiones HTTPS seguras y facilita ataques de degradación de protocolo.

[HIGH] WordPress version: La exposición pública de la versión 6.0.2 permite a atacantes identificar rápidamente vulnerabilidades conocidas y exploits documentados para esa versión específica.

[HIGH] Cookie PHPSESSID: Falta el atributo HttpOnly, permitiendo que la cookie de sesión sea accesible mediante scripts, lo que eleva el riesgo de robo de identidad.

[HIGH] Cookie site_origen: No posee los flags HttpOnly ni Secure, lo que implica que la información viaja sin cifrado y es vulnerable a ataques de inyección.

[HIGH] Cookie TS01a992e1: Carece de protecciones HttpOnly y Secure, dejando este identificador expuesto a interceptación en redes no seguras.

[MEDIUM] X-Content-Type-Options: La falta de esta cabecera permite el sniffing de tipos MIME, lo que podría derivar en la ejecución de archivos maliciosos disfrazados de elementos legítimos.

[MEDIUM] Referrer-Policy: No existe control sobre la información de referencia enviada a sitios externos, pudiendo filtrar datos de navegación privada.

[MEDIUM] Permissions-Policy: No se restringen las APIs del navegador, permitiendo que funciones como la cámara o el micrófono sean potencialmente invocadas por scripts no autorizados.

[MEDIUM] Archivos de documentación expuestos: Los archivos /readme.html y /README.txt son accesibles públicamente, revelando detalles técnicos de la instalación que facilitan el reconocimiento inicial.

[MEDIUM] Atributo SameSite: Las cookies de sesión no implementan SameSite, dejando la plataforma vulnerable a ataques de falsificación de solicitud en sitios cruzados (CSRF).

[LOW] Expiración de Certificado SSL: El certificado actual expira en 14 días, lo que representa un riesgo operativo de interrupción del servicio a muy corto plazo.

[LOW] Meta generator: El código fuente expone la tecnología WordPress 6.0.2 a través de etiquetas meta, simplificando la fase de recolección de información para posibles atacantes.

[LOW] Ausencia de archivos de indexación: No se detectaron los archivos robots.txt ni sitemap.xml, lo que dificulta la comunicación correcta con los motores de búsqueda y la gestión de la visibilidad.