Seguridad de fondosoft.com

[HIGH] Content-Security-Policy: La ausencia de esta cabecera permite ataques de Cross-Site Scripting (XSS) e inyección de contenido malicioso.

[HIGH] X-Frame-Options: Al no estar presente, el sitio es susceptible a ataques de clickjacking, permitiendo que atacantes carguen la web en marcos invisibles.

[HIGH] Strict-Transport-Security: La falta de HSTS impide que el navegador fuerce conexiones HTTPS, facilitando ataques de degradación de protocolo (SSL Stripping).

[MEDIUM] X-Content-Type-Options: La falta de esta cabecera permite el MIME-type sniffing, lo que puede llevar a la ejecución de archivos no ejecutables.

[MEDIUM] Referrer-Policy: No existe control sobre la información de navegación enviada a otros sitios, lo que podría filtrar datos de URL privadas.

[MEDIUM] Permissions-Policy: El sitio no restringe el acceso a APIs sensibles del navegador como cámara, micrófono o geolocalización.

[MEDIUM] Exposición de Archivos Informativos: Los archivos /readme.html y /README.txt son accesibles públicamente y pueden revelar detalles técnicos de la infraestructura.

[MEDIUM] Paneles de Administración Expuestos: Las rutas /wp-login.php, /administrator/ y /user/login son accesibles desde internet, facilitando ataques de fuerza bruta.

[MEDIUM] Puerto 22 (SSH) abierto: El puerto de acceso remoto está expuesto a la red, lo que representa un riesgo de intrusión si no está debidamente protegido.

[LOW] Server header expuesto: El servidor revela la versión exacta nginx/1.24.0 (Ubuntu), ayudando a atacantes a buscar vulnerabilidades específicas para esa versión.

[LOW] Ausencia de archivos de indexación: No se detectaron robots.txt ni sitemap.xml, lo que dificulta la gestión de la visibilidad y seguridad del rastreo.