Seguridad de cafelindo.es

[HIGH] Content-Security-Policy: La ausencia de esta cabecera permite la ejecución de scripts no autorizados, facilitando ataques de Cross-Site Scripting (XSS) e inyección de contenido malicioso.

[HIGH] X-Frame-Options: Al no estar presente, el sitio es susceptible a ataques de clickjacking, donde un tercero puede cargar la web en un marco invisible para engañar al usuario.

[HIGH] Versión de WordPress expuesta: Se detecta públicamente que el sitio utiliza WordPress 7.0, lo que permite a posibles atacantes localizar vulnerabilidades específicas y exploits conocidos para dicha versión.

[MEDIUM] X-Content-Type-Options: La falta de esta directiva permite que los navegadores intenten adivinar el tipo de contenido (MIME sniffing), lo que puede derivar en la ejecución de archivos maliciosos disfrazados de elementos inofensivos.

[MEDIUM] Permissions-Policy: No se han restringido las APIs del navegador, dejando abierta la posibilidad de que scripts de terceros accedan a funciones como la cámara, el micrófono o la geolocalización.

[MEDIUM] Archivos informativos expuestos: Los archivos /readme.html y /README.txt son accesibles públicamente, revelando detalles sobre la instalación y el software del sistema.

[MEDIUM] Restricción total en robots.txt: El archivo de configuración bloquea la indexación de todo el sitio mediante la directiva Disallow: /, lo que podría ocultar configuraciones de desarrollo o pruebas dejadas en producción.

[LOW] Server header expuesto: El servidor revela el uso de Apache, lo cual otorga información de reconocimiento valiosa para un atacante sobre la infraestructura subyacente.

[LOW] Meta generator: La etiqueta meta en el código fuente expone explícitamente el uso de WordPress 7.0, facilitando la identificación de la tecnología empleada.