Seguridad de desatascosjumbo.com

[HIGH] WordPress version: La versión 5.8.1 del CMS está expuesta públicamente, lo que facilita a atacantes la búsqueda de CVEs y exploits conocidos para tomar el control del sitio.

[HIGH] Content-Security-Policy: La ausencia de esta cabecera permite la ejecución de scripts no autorizados, facilitando ataques de XSS y robo de datos.

[HIGH] X-Frame-Options: Al no estar configurada, el sitio puede ser cargado en marcos externos, permitiendo ataques de clickjacking para engañar a los usuarios.

[HIGH] Strict-Transport-Security: No se fuerza el uso de HTTPS mediante HSTS, lo que permite ataques de degradación de protocolo y manipulación de tráfico.

[HIGH] HSTS (Strict-Transport-Security): El navegador no tiene instrucciones para forzar conexiones seguras de forma permanente.

[MEDIUM] WordPress login: La ruta /wp-login.php es accesible para cualquier usuario, permitiendo intentos de acceso no autorizado mediante fuerza bruta.

[MEDIUM] X-Content-Type-Options: Falta la protección contra el sniffing de tipos MIME, lo que podría permitir la ejecución de archivos maliciosos disfrazados de elementos legítimos.

[MEDIUM] Referrer-Policy: No se controla la información que el navegador envía a otros sitios al hacer clic en enlaces externos.

[MEDIUM] Permissions-Policy: No se han definido restricciones para el uso de APIs del navegador como la cámara, el micrófono o la geolocalización.

[LOW] Server header expuesto: El servidor revela el uso de nginx, proporcionando información valiosa a posibles atacantes sobre la infraestructura base.

[LOW] Meta generator: La etiqueta meta expone explícitamente que se utiliza WordPress 5.8.1.

[LOW] Ruta sensible en robots.txt: El archivo menciona el directorio admin, lo que ayuda a mapear áreas restringidas del servidor.