Seguridad de kevins.com.co

[HIGH] Content-Security-Policy: La ausencia de esta cabecera permite la ejecucion de scripts no autorizados, facilitando ataques de Cross-Site Scripting (XSS).

[HIGH] X-Frame-Options: Al no estar configurada, el sitio puede ser cargado dentro de marcos externos, lo que expone a los usuarios a ataques de clickjacking.

[HIGH] Strict-Transport-Security: La falta de HSTS permite que un atacante intente degradar la conexion de HTTPS a HTTP para interceptar datos.

[MEDIUM] X-Content-Type-Options: La falta de esta cabecera permite que el navegador intente adivinar el tipo de contenido, lo que puede derivar en la ejecucion de archivos maliciosos.

[MEDIUM] Referrer-Policy: No se controla la informacion de navegacion enviada a otros sitios, lo que podria filtrar rutas internas sensibles.

[MEDIUM] Permissions-Policy: El sitio no restringe el acceso a APIs del navegador como la camara o el microfono, aumentando la superficie de riesgo en el cliente.

[MEDIUM] Archivos informativos expuestos: Los archivos /readme.html y /README.txt son accesibles y pueden revelar informacion tecnica sobre la arquitectura del sitio.

[MEDIUM] Rutas de administracion publicas: Se detecto acceso a /wp-login.php, /administrator/ y /user/login, facilitando intentos de acceso no autorizado por fuerza bruta.

[LOW] Server header expuesto: El servidor revela el uso de nginx, proporcionando informacion util para que un atacante busque vulnerabilidades especificas de esa version.

[LOW] X-Powered-By expuesto: Se expone el uso del framework Express, lo que permite a un atacante dirigir ataques especificos contra esta tecnologia.

[LOW] Ausencia de robots.txt y sitemap.xml: El servidor responde con error 404 para estos archivos, dificultando la gestion de indexacion y auditoria pasiva.