Seguridad de clipo.gg

[HIGH] Content-Security-Policy: Falta esta cabecera crítica que previene ataques de XSS y la inyección de contenido malicioso en el navegador.

[HIGH] X-Frame-Options: La ausencia de esta protección hace que el sitio sea susceptible a ataques de clickjacking.

[HIGH] Strict-Transport-Security: Al no estar configurado el HSTS, el servidor no obliga al navegador a usar siempre conexiones seguras, permitiendo ataques de degradación.

[MEDIUM] X-Content-Type-Options: No se previene el MIME-type sniffing, lo que podría permitir la ejecución de scripts camuflados como otros tipos de archivos.

[MEDIUM] Referrer-Policy: La falta de esta política impide controlar qué información de navegación se comparte con otros dominios.

[MEDIUM] Permissions-Policy: No existen restricciones sobre el uso de APIs del navegador, como la cámara o geolocalización, por parte de terceros.

[MEDIUM] Paneles de login expuestos: Se detectó acceso público a rutas administrativas como /wp-login.php, /administrator/ y /user/login.

[MEDIUM] Archivos técnicos públicos: Los archivos /readme.html y /README.txt son accesibles, lo que puede revelar detalles internos de la infraestructura.

[MEDIUM] Puerto 22 (SSH) abierto: El puerto de acceso remoto está disponible, representando un vector de ataque si no posee autenticación robusta.

[LOW] Server header expuesto: Se detectó el valor "nginx/1.24.0 (Ubuntu)", lo que facilita a un atacante identificar vulnerabilidades específicas de esa versión.

[LOW] Ruta sensible en robots.txt: El archivo de indexación menciona "admin", exponiendo prematuramente la ubicación de áreas privadas.