Seguridad de pollaya.com

[HIGH] Content-Security-Policy: La ausencia de esta cabecera impide prevenir ataques de Cross-Site Scripting (XSS) e inyección de contenido malicioso.

[HIGH] X-Frame-Options: Al no estar presente, el sitio es susceptible a ataques de clickjacking, permitiendo que atacantes carguen la web en frames externos.

[HIGH] Versión de WordPress expuesta: La versión 6.8.5 es visible públicamente, lo que permite a atacantes identificar y explotar CVEs conocidos para esa versión específica.

[MEDIUM] X-Content-Type-Options: La falta de esta directiva permite ataques de MIME-type sniffing, donde el navegador interpreta archivos de forma incorrecta.

[MEDIUM] Referrer-Policy: No se controla la información de referencia enviada a otros sitios, lo que puede fugar datos de navegación sensibles.

[MEDIUM] Permissions-Policy: No se restringe el acceso a APIs del navegador, dejando expuestas funciones como cámara o micrófono ante posibles vulnerabilidades de scripts.

[MEDIUM] Archivos informativos expuestos: El acceso público a /readme.html y /README.txt facilita la obtención de metadatos sobre la instalación del CMS.

[MEDIUM] Rutas de administración accesibles: Los paneles /wp-login.php, /administrator/ y /user/login están abiertos, facilitando intentos de fuerza bruta.

[MEDIUM] Puerto 8080 (HTTP-Alt): El puerto se encuentra abierto, funcionando como un servidor web alternativo o proxy que amplía la superficie de exposición.

[LOW] Cabecera Server expuesta: Se revela el uso de Cloudflare, proporcionando pistas sobre la infraestructura de red utilizada.

[LOW] X-Powered-By expuesto: El servidor informa el uso de ASP.NET, revelando el framework de desarrollo subyacente.

[LOW] Meta generator detectado: El código fuente incluye la etiqueta que identifica explícitamente el uso de WordPress 6.8.5.