Seguridad de api.wc2026api.com

[CRITICAL] Puerto 27017 (MongoDB): La base de datos está abierta a internet, lo que permite intentos de acceso no autorizado y posible robo de información sensible.

[HIGH] Content-Security-Policy: La ausencia de esta cabecera facilita ataques de Cross-Site Scripting (XSS) e inyección de contenido malicioso.

[HIGH] X-Frame-Options: No se ha configurado esta protección, dejando el sitio vulnerable a ataques de clickjacking donde un atacante puede camuflar la interfaz.

[HIGH] Strict-Transport-Security: Al faltar la directiva HSTS, el sitio no obliga al navegador a usar conexiones seguras, permitiendo ataques de degradación de SSL.

[MEDIUM] Puerto 22 (SSH): El puerto de administración remota está expuesto, aumentando la superficie de ataque para intentos de intrusión por fuerza bruta.

[MEDIUM] X-Content-Type-Options: La falta de esta cabecera permite el sniffing de tipos MIME, lo que puede llevar a la ejecución de archivos no seguros.

[MEDIUM] Referrer-Policy: No se controla qué información de procedencia se envía a terceros al navegar desde el sitio.

[MEDIUM] Permissions-Policy: No se restringen las capacidades del navegador, como el acceso a la cámara o micrófono, mediante políticas de seguridad.

[LOW] Server header expuesto: Se revela el uso de railway-edge, proporcionando a los atacantes detalles técnicos sobre la infraestructura del servidor.

[LOW] robots.txt y sitemap.xml: La falta de estos archivos genera errores 404 y dificulta la gestión correcta del rastreo por parte de buscadores.