Seguridad de octapus.io

[ALTA] WordPress version: Se detectó la versión 3.7.1 expuesta públicamente, la cual es antigua y vulnerable a múltiples exploits conocidos y ataques de ejecución remota.

[ALTA] Content-Security-Policy: La ausencia de esta cabecera facilita ataques de Cross-Site Scripting (XSS) e inyección de contenido malicioso.

[ALTA] X-Frame-Options: La falta de esta cabecera permite que el sitio sea cargado en iframes, exponiéndolo a ataques de clickjacking.

[ALTA] Strict-Transport-Security: No se ha configurado HSTS, lo que permite ataques de degradación de protocolo (SSL Stripping) al no forzar HTTPS de forma estricta.

[MEDIA] Puerto 8080 (HTTP-Alt): La presencia de un puerto de servidor web alternativo abierto incrementa la superficie de ataque y exposición de servicios internos.

[MEDIA] Archivo /readme.html y /README.txt: Estos archivos son accesibles y pueden revelar detalles específicos sobre la versión y configuración del CMS a un atacante.

[MEDIA] Ruta /wp-login.php: El panel de administración de WordPress es accesible globalmente, lo que facilita intentos de intrusión mediante fuerza bruta.

[MEDIA] X-Content-Type-Options: La falta de esta directiva permite que los navegadores realicen MIME-sniffing, aumentando el riesgo de ejecución de archivos maliciosos.

[MEDIA] Referrer-Policy y Permissions-Policy: La ausencia de estos controles permite la fuga de información sobre la navegación y el acceso no restringido a APIs del dispositivo.

[BAJA] Server header expuesto: El servidor responde con la cabecera LiteSpeed, facilitando la identificación de la tecnología subyacente para ataques dirigidos.

[BAJA] Meta generator: Se exponen metadatos del plugin Elementor 4.1.1, revelando configuraciones internas del diseño web.

[BAJA] Ruta sensible en robots.txt: Se menciona explícitamente la ruta "admin", indicando a los rastreadores y atacantes dónde se encuentran áreas administrativas.