Seguridad de chaface.com

[HIGH] Content-Security-Policy faltante: La ausencia de esta cabecera permite la ejecución de scripts maliciosos y ataques de inyección de contenido como XSS.

[HIGH] X-Frame-Options faltante: El sitio es vulnerable a ataques de clickjacking, permitiendo que atacantes carguen la web en marcos invisibles para engañar al usuario.

[HIGH] Strict-Transport-Security (HSTS) faltante: No se obliga al navegador a usar conexiones seguras, lo que facilita ataques de degradación de protocolo (Man-in-the-Middle).

[HIGH] HSTS no configurado en redirección: Aunque existe redirección a HTTPS, la falta de la directiva HSTS deja una ventana de vulnerabilidad en la primera conexión.

[MEDIUM] Puertos administrativos abiertos: Los puertos 22 (SSH) y 8080 (HTTP-Alt) son visibles públicamente, lo que aumenta la superficie de ataque para intentos de intrusión.

[MEDIUM] Rutas de administración expuestas: Los paneles de login en /wp-login.php, /administrator/ y /user/login son accesibles, facilitando ataques de fuerza bruta.

[MEDIUM] Archivos de información accesibles: Los archivos /readme.html y /README.txt están expuestos y pueden contener metadatos o versiones de software sensibles.

[MEDIUM] X-Content-Type-Options faltante: Permite que el navegador adivine el tipo de contenido, lo que puede derivar en la ejecución de archivos maliciosos disfrazados.

[MEDIUM] Referrer-Policy faltante: No existe control sobre la información de navegación que se comparte con otros sitios web al seguir enlaces.

[MEDIUM] Permissions-Policy faltante: El sitio no restringe el uso de funciones del navegador como la cámara, el micrófono o la geolocalización.

[LOW] Exposición de cabecera Server: El servidor revela el software nginx/1.24.0 (Ubuntu), proporcionando información valiosa a un atacante para buscar exploits específicos.