Seguridad de diariouno.pe

[HIGH] Content-Security-Policy: Falta — Previene XSS y ataques de inyeccion de contenido al restringir las fuentes de recursos cargados.

[HIGH] X-Frame-Options: Falta — Protege contra clickjacking, evitando que el sitio sea embebido en marcos maliciosos.

[HIGH] Strict-Transport-Security: Falta — El servidor no fuerza conexiones HTTPS mediante HSTS, permitiendo posibles degradaciones de conexion.

[HIGH] WordPress version: Version 6.5.0 expuesta publicamente — Facilita a los atacantes la identificacion y explotacion de CVEs especificos del CMS.

[MEDIUM] X-Content-Type-Options: Falta — Evita que el navegador realice MIME-type sniffing, lo que podria ejecutar archivos maliciosos disfrazados de texto.

[MEDIUM] Referrer-Policy: Falta — No controla la informacion de referencia enviada a otros sitios, lo que podria filtrar rutas internas sensibles.

[MEDIUM] Permissions-Policy: Falta — No restringe el acceso de la aplicacion a APIs del navegador como la camara, microfono o geolocalizacion.

[MEDIUM] Puerto 8080 (HTTP-Alt): ABIERTO — La presencia de un puerto de servidor alternativo abierto aumenta la superficie de ataque y posibles accesos no autorizados.

[MEDIUM] Archivo /readme.html: Archivo accesible publicamente — Expone informacion tecnica sobre la instalacion y version del gestor de contenidos.

[MEDIUM] Ruta /wp-login.php: Panel de login accesible publicamente — Permite intentos de fuerza bruta directos contra las credenciales de administracion.

[MEDIUM] Bloqueo total: robots.txt bloquea todo el sitio — La directiva Disallow: / impide la indexacion correcta, aunque tambien revela una configuracion restrictiva inusual.

[LOW] Server header expuesto: Server: cloudflare — Revela la tecnologia de proteccion frontal, permitiendo a un atacante ajustar sus metodos de evasion.