Seguridad de staging-4357-seticomco.wpcomstaging.com

[HIGH] WordPress version: La versión 4.12.1 del CMS está expuesta públicamente, lo que permite a atacantes identificar y explotar CVEs conocidos para esta versión.

[HIGH] Content-Security-Policy: La ausencia de esta cabecera impide prevenir ataques de Cross-Site Scripting (XSS) y la inyección de contenido malicioso.

[HIGH] X-Frame-Options: Falta de protección contra ataques de Clickjacking, permitiendo que el sitio sea embebido en marcos externos fraudulentos.

[MEDIUM] X-Content-Type-Options: La falta de esta cabecera permite el sniffing de tipos MIME, lo que puede llevar a la ejecución de archivos no seguros.

[MEDIUM] Referrer-Policy: No existe control sobre la información de referencia enviada, lo que podría filtrar datos de navegación a sitios de terceros.

[MEDIUM] Permissions-Policy: No se restringen las APIs del navegador, dejando abierta la posibilidad de acceso no autorizado a funciones como cámara o geolocalización.

[MEDIUM] Archivo /readme.html: El acceso público a este archivo facilita información técnica detallada sobre la instalación y el CMS a potenciales atacantes.

[MEDIUM] Bloqueo robots.txt: El archivo bloquea el acceso total al sitio mediante la directiva Disallow: /, lo que puede afectar la visibilidad y denota una configuración de desarrollo.

[LOW] Server header expuesto: La cabecera revela el uso de nginx, proporcionando datos sobre la infraestructura que facilitan el reconocimiento técnico.

[LOW] Meta generator: Se expone el uso de Elementor 4.0.4 y sus configuraciones internas, revelando la superficie de ataque de los plugins instalados.

[LOW] sitemap.xml: No se encontró el archivo de mapa del sitio, lo que dificulta la auditoría de la estructura web y el indexado.