Seguridad de naturcera.com

[HIGH] WordPress version: La version 6.9.4 esta expuesta publicamente, lo que facilita a los atacantes la identificacion de CVEs especificos para comprometer el sitio.

[HIGH] Content-Security-Policy: La ausencia de esta cabecera permite ataques de Cross-Site Scripting (XSS) y la inyeccion de contenido malicioso en el navegador del usuario.

[HIGH] X-Frame-Options: Al no estar configurada, el sitio es susceptible a ataques de Clickjacking, donde un atacante puede camuflar la interfaz para engañar al usuario.

[HIGH] Strict-Transport-Security: La falta de HSTS impide que el navegador fuerce siempre una conexion cifrada, permitiendo posibles degradaciones de protocolo.

[MEDIUM] X-Content-Type-Options: La falta de esta cabecera permite el MIME-type sniffing, lo que podria llevar a la ejecucion de archivos no ejecutables.

[MEDIUM] Referrer-Policy: No se controla la informacion de procedencia enviada a otros sitios, lo que puede derivar en la fuga de URLs internas sensibles.

[MEDIUM] Permissions-Policy: La ausencia de restricciones sobre APIs del navegador permite que scripts de terceros accedan potencialmente a funciones como la camara o el microfono.

[MEDIUM] Archivo /readme.html: Este archivo es accesible publicamente y revela informacion tecnica detallada sobre la instalacion del CMS.

[LOW] Server header expuesto: El servidor revela el uso de nginx, lo que ayuda a los atacantes a dirigir exploits especificos contra dicha tecnologia.

[LOW] X-Powered-By expuesto: Se expone el uso de la herramienta WP Rocket/3.19.1.2, proporcionando detalles innecesarios sobre la infraestructura interna.

[LOW] Meta generator: El sitio expone la version de Site Kit by Google 1.176.0 en el codigo fuente.

[LOW] Ruta sensible en robots.txt: Se hace referencia directa a rutas de administracion, facilitando el mapeo de puntos de entrada para ataques de fuerza bruta.