Seguridad de jiahaoye-tfg.duckdns.org

[HIGH] Content-Security-Policy: La ausencia de esta cabecera facilita ataques de Cross-Site Scripting (XSS) e inyecciones de código malicioso.

[HIGH] X-Frame-Options: Falta de protección contra ataques de clickjacking, permitiendo que el sitio sea embebido en marcos externos fraudulentos.

[HIGH] Strict-Transport-Security: La carencia de la cabecera HSTS impide que el navegador fuerce de forma obligatoria las conexiones seguras mediante HTTPS.

[HIGH] Redirección HSTS: Aunque el sitio redirige de HTTP a HTTPS, no instruye al navegador para mantener esta política en futuras visitas, permitiendo ataques de degradación.

[MEDIUM] X-Content-Type-Options: Al no estar presente, el navegador podría realizar sniffing de tipos MIME, permitiendo la ejecución de archivos con extensiones falsas.

[MEDIUM] Referrer-Policy: No se controla la información de referencia enviada a otros dominios, lo que puede exponer rutas internas del sitio.

[MEDIUM] Permissions-Policy: No existen restricciones sobre el uso de APIs del navegador como la cámara, el micrófono o la geolocalización.

[MEDIUM] Archivo /readme.html y /README.txt: Estos archivos son accesibles públicamente y suelen revelar versiones de software o información técnica confidencial.

[MEDIUM] Paneles de login expuestos: Se detectó acceso público a rutas administrativas como /wp-login.php, /administrator/ y /user/login, facilitando ataques de fuerza bruta.

[LOW] Server header expuesto: El servidor revela la versión exacta de la tecnología utilizada (nginx/1.18.0 en Ubuntu), ayudando a los atacantes a identificar exploits conocidos.