Seguridad de domicilioelectronico.chubut.gob.ar

[HIGH] Falta de Content-Security-Policy: La ausencia de esta cabecera permite ataques de Cross-Site Scripting (XSS) y la inyección de contenido malicioso en el navegador del usuario.

[HIGH] Falta de X-Frame-Options: El sitio es vulnerable a ataques de clickjacking, permitiendo que atacantes carguen la web en marcos invisibles para robar clics o información.

[HIGH] Falta de Strict-Transport-Security: No se implementa HSTS, lo que permite ataques de degradación de protocolo (Downgrade attacks) de HTTPS a HTTP.

[HIGH] HSTS no configurado: Aunque existe redirección a HTTPS, el navegador no es forzado a usar conexiones seguras de forma permanente.

[MEDIUM] Falta de X-Content-Type-Options: Al no estar presente, el navegador podría intentar adivinar el tipo de contenido, facilitando la ejecución de scripts camuflados.

[MEDIUM] Falta de Referrer-Policy: No se limita la información de navegación que se envía a otros sitios web, lo que puede filtrar datos de la estructura interna.

[MEDIUM] Falta de Permissions-Policy: No hay restricciones sobre el uso de hardware o APIs del navegador como la cámara, micrófono o geolocalización.

[MEDIUM] Archivos informativos expuestos: Se detectó acceso público a /readme.html y /README.txt, lo que puede revelar detalles técnicos de la infraestructura.

[MEDIUM] Rutas de administración accesibles: Paneles de login como /wp-login.php, /administrator/ y /user/login están expuestos a Internet, facilitando intentos de intrusión.

[MEDIUM] Puerto 22 (SSH) abierto: El acceso de administración remota es visible públicamente, aumentando el riesgo de ataques de fuerza bruta contra el servidor.

[LOW] Cabecera Server expuesta: Se revela el uso de Apache/2.4.41 (Ubuntu), permitiendo a potenciales atacantes buscar vulnerabilidades específicas para esa versión.

[FAIL] Ausencia de Robots.txt y Sitemap: El sitio no cuenta con archivos de control para rastreadores, dificultando la auditoría de su estructura indexada.