Seguridad de coalicionporelevangelio.org

[HIGH] Falta de Content-Security-Policy: La ausencia de esta cabecera permite ataques de Cross-Site Scripting (XSS) e inyección de datos maliciosos.

[HIGH] Falta de X-Frame-Options: El sitio es vulnerable a ataques de Clickjacking al permitir ser embebido en marcos de otras webs.

[HIGH] Falta de Strict-Transport-Security: No se fuerza el uso de HTTPS mediante HSTS, permitiendo ataques de degradación de protocolo (SSL Stripping).

[HIGH] Versión de WordPress expuesta: La versión 6.6.5 es visible públicamente, lo que facilita a atacantes la búsqueda de exploits específicos para este motor.

[MEDIUM] Falta de X-Content-Type-Options: El navegador podría intentar interpretar el contenido de forma distinta a la declarada, facilitando la ejecución de scripts.

[MEDIUM] Falta de Referrer-Policy: No se controla la información de origen que se envía a otros dominios al navegar por enlaces externos.

[MEDIUM] Falta de Permissions-Policy: El sitio no restringe el acceso a APIs sensibles del navegador como la cámara, el micrófono o la geolocalización.

[MEDIUM] Contenido Mixto detectado: Existen 3 recursos (enlaces a browsehappy.com y tgckorea.org) que se cargan vía HTTP dentro de la sesión segura.

[MEDIUM] Puerto 8080 abierto: El servicio HTTP-Alt está accesible, lo que representa un vector de ataque si aloja servicios de administración o proxies.

[LOW] Cabecera Server expuesta: Se revela el uso de Cloudflare, proporcionando información útil para la fase de reconocimiento de un ataque.

[LOW] Cabecera X-Powered-By expuesta: Indica el uso de WP Engine, lo cual ayuda a identificar la infraestructura y el proveedor de hosting.

[LOW] Meta generator expuesto: La etiqueta meta revela el uso de WPML versión 4.6.12, aportando detalles granulares sobre los componentes internos.

[LOW] Ruta sensible en robots.txt: El archivo menciona la ruta admin, facilitando a los atacantes la identificación de paneles de gestión.