Seguridad de miformacion.novaventa.com.co

[HIGH] Strict-Transport-Security (HSTS): No se detectó la configuración HSTS, lo que impide forzar conexiones HTTPS y deja el sitio expuesto a ataques de degradación de protocolo.

[HIGH] Content-Security-Policy (CSP): La ausencia de esta cabecera facilita la ejecución de ataques de Cross-Site Scripting (XSS) e inyección de contenido malicioso.

[HIGH] X-Frame-Options: Al no estar presente, el sitio es susceptible a ataques de Clickjacking, permitiendo que atacantes carguen la web en frames invisibles.

[HIGH] Versión de WordPress expuesta: Se detectó la versión 4.11.18, la cual es antigua y permite a atacantes explotar vulnerabilidades conocidas públicamente (CVEs).

[MEDIUM] X-Content-Type-Options: La falta de esta cabecera permite que el navegador intente adivinar el tipo de contenido, facilitando ataques de sniffing de tipos MIME.

[MEDIUM] Referrer-Policy: No existe una política definida para el control de la información de referencia enviada a sitios de terceros.

[MEDIUM] Permissions-Policy: No se han definido restricciones para el uso de APIs sensibles del navegador como la cámara, el micrófono o la geolocalización.

[MEDIUM] Archivo /readme.html y /wp-login.php accesibles: Estos recursos revelan información técnica y exponen el punto de entrada administrativo a ataques de fuerza bruta.

[LOW] Exposición de cabecera Server: El servidor revela el uso de Apache/2.4.58 (Ubuntu), proporcionando datos valiosos para la fase de reconocimiento de un atacante.

[LOW] Meta generator expuesto: La presencia de etiquetas de Elementor y WordPress confirma tecnologías específicas que pueden ser objeto de ataques dirigidos.

[LOW] Rutas sensibles en robots.txt: Se hace referencia directa a directorios de administración, lo que facilita el mapeo de la estructura interna del sitio.