Seguridad de gestoriaareal.es

[HIGH] Content-Security-Policy: Falta esta cabecera, lo que permite la ejecución de ataques de inyección de código y XSS.

[HIGH] X-Frame-Options: Al no estar presente, el sitio es susceptible a ataques de clickjacking mediante marcos externos.

[HIGH] Strict-Transport-Security: La ausencia de HSTS permite que los usuarios realicen conexiones inseguras a través de HTTP.

[HIGH] WordPress version: La versión 6.9.4 se encuentra expuesta públicamente, permitiendo a atacantes identificar vulnerabilidades específicas para este software.

[MEDIUM] X-Content-Type-Options: La falta de esta cabecera permite el MIME-type sniffing, lo que puede derivar en la ejecución de scripts maliciosos.

[MEDIUM] Referrer-Policy: No existe control sobre la información de referencia que el navegador envía al navegar desde el sitio.

[MEDIUM] Permissions-Policy: No se restringen las capacidades del navegador como la cámara o el micrófono, aumentando la superficie de ataque.

[MEDIUM] Archivo /readme.html: Este archivo es accesible y revela detalles internos del CMS WordPress.

[MEDIUM] Ruta /wp-login.php: El panel de acceso administrativo es público, facilitando ataques de fuerza bruta.

[MEDIUM] Contenido Mixto: Se detectaron 4 recursos cargados mediante protocolo HTTP inseguro dentro de la página HTTPS, comprometiendo el cifrado.

[LOW] Server header expuesto: Se revela el uso de infraestructura OVHcloud, facilitando el reconocimiento del entorno.

[LOW] X-Powered-By expuesto: La cabecera indica el uso de PHP/7.3, una versión antigua con posibles riesgos asociados.

[LOW] Meta generator: La etiqueta meta expone explícitamente el uso de WordPress 6.9.4 en el código fuente.

[LOW] sitemap.xml: El archivo no fue encontrado, lo que dificulta la auditoría de rutas y la indexación correcta.