Seguridad de stton.co

[HIGH] Content-Security-Policy: Falta — Esta cabecera es vital para prevenir ataques de Cross-Site Scripting (XSS) y otros ataques de inyección de contenido.

[HIGH] X-Frame-Options: Falta — La ausencia de esta cabecera permite que el sitio sea embebido en iframes maliciosos, facilitando ataques de clickjacking.

[HIGH] Strict-Transport-Security: Falta — El servidor no fuerza el uso de HTTPS mediante HSTS, lo que permite ataques de degradación de protocolo (SSL Stripping).

[MEDIUM] Puerto 8080 (HTTP-Alt) abierto: La exposición de un puerto de servidor alternativo incrementa la superficie de ataque y puede revelar servicios internos no protegidos.

[MEDIUM] Paneles de gestión expuestos: Se detectó acceso público a rutas críticas como /wp-login.php, /administrator/ y /user/login, facilitando intentos de fuerza bruta.

[MEDIUM] Archivos informativos accesibles: Los archivos /readme.html y /README.txt están disponibles públicamente, lo que puede revelar versiones de software y metadatos técnicos.

[MEDIUM] Permissions-Policy: Falta — No se restringe el acceso de las APIs del navegador (cámara, micrófono, geolocalización) dentro del contexto del sitio.

[MEDIUM] Configuración de robots.txt: El archivo bloquea el rastreo total del sitio (Disallow: /) y carece de una referencia a sitemap.xml, afectando la visibilidad y auditoría.

[LOW] Server header expuesto: La cabecera revela el uso de Cloudflare, lo cual entrega información sobre el stack tecnológico a posibles atacantes.