Seguridad de orangemid.com

[HIGH] Content-Security-Policy: La ausencia de esta cabecera permite ataques de Cross-Site Scripting (XSS) e inyección de contenido malicioso.

[HIGH] X-Frame-Options: La falta de esta política hace que el sitio sea susceptible a ataques de clickjacking mediante el uso de frames.

[MEDIUM] X-Content-Type-Options: Al no estar presente, el navegador podría interpretar archivos de forma incorrecta mediante MIME-type sniffing, facilitando la ejecución de scripts.

[MEDIUM] Referrer-Policy: No se controla la información del referente enviada en las peticiones, lo que puede provocar fugas de datos sensibles hacia sitios externos.

[MEDIUM] Permissions-Policy: No se restringe el acceso a APIs del navegador como cámara o micrófono, permitiendo que scripts de terceros interactúen con hardware del usuario.

[MEDIUM] Archivos informativos expuestos: El acceso público a /readme.html y /README.txt puede revelar versiones específicas de software y facilitar ataques dirigidos.

[MEDIUM] Paneles de administración expuestos: Las rutas /wp-login.php, /administrator/ y /user/login son accesibles, lo que facilita ataques de fuerza bruta.

[LOW] Server header expuesto: La cabecera Server: Microsoft-IIS/10.0 revela la tecnología y versión exacta del servidor web.

[LOW] X-Powered-By expuesto: La cabecera X-Powered-By: ASP.NET revela el framework de desarrollo utilizado, acotando los vectores de ataque.

[LOW] Ausencia de archivos de control: La falta de robots.txt y sitemap.xml dificulta la gestión de indexación y visibilidad del sitio.