Seguridad de reservazafra.com

[HIGH] Content-Security-Policy: Falta la cabecera CSP, lo que facilita la ejecucion de ataques XSS y la inyeccion de contenido malicioso.

[HIGH] X-Frame-Options: La ausencia de esta cabecera permite que el sitio sea cargado en marcos externos, habilitando ataques de clickjacking.

[HIGH] Strict-Transport-Security: No se ha configurado HSTS, permitiendo que las conexiones seguras sean degradadas a protocolos no cifrados.

[HIGH] Exposicion de version de WordPress 6.9.4: La version publica del CMS permite a atacantes identificar y explotar CVEs especificos para dicha version.

[MEDIUM] X-Content-Type-Options: La falta de esta cabecera permite que el navegador realice MIME-type sniffing, aumentando el riesgo de ejecucion de scripts.

[MEDIUM] Referrer-Policy: No existe una politica de referencia definida, lo que puede filtrar informacion de navegacion a dominios externos.

[MEDIUM] Permissions-Policy: No se restringe el acceso a APIs del navegador como camara o geolocalizacion, aumentando la superficie de riesgo del cliente.

[MEDIUM] Archivo readme.html accesible: El archivo esta expuesto publicamente, revelando informacion tecnica y versiones del gestor de contenidos.

[MEDIUM] Ruta wp-login.php expuesta: El panel de administracion es accesible publicamente, facilitando ataques de fuerza bruta.

[LOW] Cabecera Server expuesta: Revela el uso de LiteSpeed, permitiendo a los atacantes acotar sus tecnicas a esta tecnologia especifica.

[LOW] Cabecera X-Powered-By expuesta: Expone el uso de PHP/8.4.18, facilitando la identificacion de debilidades en el lenguaje.

[LOW] Meta generator expuesto: La etiqueta en el codigo fuente confirma la version exacta de WordPress utilizada.

[LOW] Ruta sensible en robots.txt: La referencia a directorios de administracion revela rutas privadas a motores de busqueda y atacantes.