Seguridad de institutoulton.com.ar

[HIGH] Content-Security-Policy: Falta la cabecera que previene ataques de ejecucion de scripts maliciosos XSS e inyeccion de datos.

[HIGH] X-Frame-Options: La ausencia de esta cabecera permite que el sitio sea embebido en marcos externos, facilitando ataques de clickjacking.

[HIGH] Strict-Transport-Security: No se ha configurado HSTS, lo que impide que el navegador fuerce de forma permanente conexiones seguras HTTPS.

[HIGH] WordPress version: La version 6.9.4 del CMS se encuentra expuesta publicamente, lo que permite a atacantes identificar y explotar CVEs conocidos.

[MEDIUM] X-Content-Type-Options: Falta la proteccion contra MIME-type sniffing, permitiendo que el navegador interprete archivos de forma insegura.

[MEDIUM] Referrer-Policy: No existe una politica configurada para controlar que informacion de referencia se envia al navegar hacia otros sitios.

[MEDIUM] Permissions-Policy: La ausencia de esta cabecera deja sin restriccion el acceso a APIs sensibles del navegador como camara o microfono.

[MEDIUM] Archivo /readme.html: Este archivo es accesible de forma publica y revela informacion tecnica detallada sobre la instalacion del CMS.

[LOW] Server header expuesto: La cabecera Server revela el uso de tecnologia LiteSpeed, proporcionando datos utiles para la fase de reconocimiento de un ataque.

[LOW] X-Powered-By expuesto: El servidor informa la version exacta de PHP utilizada (8.1.34), facilitando la busqueda de exploits especificos para esa version.

[LOW] Meta generator: La etiqueta meta en el codigo fuente expone explicitamente el uso de WordPress 6.9.4.

[LOW] Ruta sensible en robots.txt: Se identifico una referencia directa a rutas de administracion, lo que ayuda a un atacante a mapear areas restringidas.