Seguridad de redesvendervnirg.org

[HIGH] WordPress version: La versión 4.11.10 está expuesta públicamente, lo que facilita a los atacantes la explotación de CVEs conocidos.

[HIGH] Content-Security-Policy: Falta esta cabecera, dejando el sitio desprotegido frente a ataques de XSS y secuestro de datos.

[HIGH] X-Frame-Options: La ausencia de esta protección hace al sitio vulnerable a ataques de clickjacking.

[HIGH] Cookie PHPSESSID (HttpOnly): La falta de este flag permite que la cookie de sesión sea accesible mediante scripts maliciosos.

[HIGH] Cookie PHPSESSID (Secure): La cookie se envía a través de conexiones no cifradas, permitiendo su interceptación en la red.

[MEDIUM] Cookie PHPSESSID (SameSite): La ausencia de este atributo hace que el sitio sea susceptible a ataques de falsificación de petición en sitios cruzados (CSRF).

[MEDIUM] X-Content-Type-Options: La falta de esta cabecera permite que el navegador ejecute archivos con tipos MIME incorrectos.

[MEDIUM] Referrer-Policy: No existe una política definida, lo que puede filtrar información sensible sobre la navegación del usuario.

[MEDIUM] Archivo /readme.html: Este archivo es accesible y revela detalles técnicos del CMS que facilitan el reconocimiento inicial.

[LOW] Server header expuesto: El servidor revela el uso de nginx, lo que ayuda a perfilar la infraestructura para ataques específicos.

[LOW] Meta generator: Se exponen versiones de Elementor y configuraciones internas del maquetador en el código fuente.

[LOW] Ruta sensible en robots.txt: Se menciona explícitamente la ruta "admin", proporcionando pistas innecesarias sobre la estructura administrativa.