Seguridad de economicas.uba.ar

[HIGH] Content-Security-Policy: La ausencia de esta cabecera facilita ataques de Cross-Site Scripting (XSS) y la inyección de contenido malicioso.

[HIGH] X-Frame-Options: La falta de esta configuración hace al sitio susceptible a ataques de clickjacking, permitiendo que sea cargado en marcos externos.

[HIGH] Strict-Transport-Security: No se implementa HSTS, lo que impide obligar al navegador a usar conexiones cifradas de forma exclusiva.

[HIGH] Redirección HTTP a HTTPS: El sitio responde por el puerto 80 sin redirigir al tráfico seguro, permitiendo la interceptación de datos en tránsito.

[HIGH] Versión de WordPress expuesta: Se detecta públicamente WordPress 6.9.4, lo que permite a atacantes buscar vulnerabilidades específicas para esa versión.

[MEDIUM] X-Content-Type-Options: La carencia de esta cabecera permite el sniffing de tipos MIME, lo que puede derivar en la ejecución de archivos inesperados.

[MEDIUM] Referrer-Policy: No hay control sobre la información de origen que se envía a enlaces externos, pudiendo filtrar datos privados.

[MEDIUM] Permissions-Policy: No se restringe el acceso a funciones sensibles del navegador como la cámara o el micrófono.

[MEDIUM] Archivos readme expuestos: Los archivos /readme.html y /README.txt son accesibles, revelando detalles técnicos internos del gestor de contenidos.

[MEDIUM] Panel de administración accesible: La ruta /wp-login.php está expuesta, facilitando intentos de acceso no autorizado mediante fuerza bruta.

[LOW] Cabecera Server expuesta: Se revela el uso de Apache/2.4.62 (Debian), lo que ayuda a los atacantes a perfilar el entorno del servidor.

[LOW] Meta generator: La etiqueta meta expone la versión exacta del CMS, simplificando la fase de reconocimiento de un ataque.

[LOW] Rutas en robots.txt: El archivo referencia directorios administrativos, orientando a posibles atacantes hacia secciones restringidas.